Das Bibliotheken-Paket FFmpeg erlaubt es Audio- und Videoprogrammen, mit verschiedenen Codecs zusammenzuarbeiten. Eine Sicherheitslücke in der Software wurde nun geschlossen.
Programme wie VLC, MPlayer, Handbrake, Avidemux oder TCPMP greifen auf FFmpeg oder auf die darin enthaltene Bibliothek libavcodec zu. Hat eine Basis-Komponente wie FFmpeg eine Sicherheitslücke, kann sie auch die anderen Programme, die mit dem Programmpaket arbeiten, in Gefahr bringen.
FFmpeg hat in der alten Version 0.6.2 eine Sicherheitslücke, die dazu führen kann, dass ein Programm bei einem Angriff nicht mehr antwortet (Denial of Service) oder dass sich der Angreifer aus dem Internet heraus Zugang zu einem PC verschafft, auf dem eines der genannten Programme läuft. Hat er Erfolg, kann er dort schädlichen Code einschleusen und ausführen - beispielsweise einen Virus.
Secunia zufolge liegen die Programmfehler im Sunplus-JPEG-Decoder und in einer bestimmten Callback-Funktion in libavutil/log.c.
Die Entwickler haben die Probleme gelöst und Version 0.6.3 von FFmpeg zum Download bereitgestellt.