მულტიმედიური პლატფორმების ერთ-ერთი ყველაზე მნიშვნელოვანი ინსტრუმენტი, FFmpeg, კვლავ უსაფრთხოების ექსპერტების ყურადღების ცენტრშია. კომპანია Depthfirst-ის ავტონომიურმა უსაფრთხოების აგენტმა პროგრამულ უზრუნველყოფაში 21 ახალი „Zero-day“ მოწყვლადობა აღმოაჩინა.

FFmpeg მსოფლიო ციფრული ინფრასტრუქტურის განუყოფელი ნაწილია. მას იყენებენ როგორც ბრაუზერები, ისე მსხვილი სტრიმინგ პლატფორმები ვიდეო და აუდიო ფაილების დასამუშავებლად. 1.5 მილიონი ხაზისგან შემდგარი C კოდი წლების განმავლობაში გადიოდა აუდიტს, თუმცა, როგორც აღმოჩნდა, სისტემაში მაინც არსებობდა ხარვეზები, რომლებიც 15-20 წელია, რაც უცნობი რჩებოდა.

როგორ მუშაობს ახალი ტექნოლოგია

Depthfirst-ის გუნდმა შექმნა სპეციალიზებული აგენტი, რომელიც კოდს არა მხოლოდ ზედაპირულად ათვალიერებს, არამედ აანალიზებს მონაცემთა ნაკადებს და საფრთხის მოდელირებას ახდენს. აგენტმა შეძლო იმ მოწყვლადობების იდენტიფიცირება, რომლებიც მანამდე Google-ის „Big Sleep“ პროექტმა და Anthropic-ის მოდელებმა გამოავლინეს, თუმცა, მათ გარდა, ახალი, უცნობი კრიტიკული ხარვეზებიც იპოვა.

სისტემის ეფექტიანობაზე მეტყველებს ფინანსური მხარეც: კვლევა, რომელმაც 21 მოწყვლადობა აღმოაჩინა, დაახლოებით 1000 დოლარი დაჯდა, რაც 10-ჯერ ნაკლებია Anthropic-ის მიერ დახარჯულ რესურსზე.

კრიტიკული ხარვეზი AV1 დეკოდერში

აღმოჩენილ ხარვეზებს შორის განსაკუთრებით საშიშია „heap buffer overflow“ AV1 RTP დეკოდერში. ეს მოწყვლადობა ჰაკერს საშუალებას აძლევს, მხოლოდ ერთი მცირე ზომის პაკეტის გაგზავნით, სისტემაში კოდის შესრულებაზე კონტროლი მოიპოვოს.

პრობლემა მდგომარეობს „Temporal Delimiter“-ის (TD) არასწორ დამუშავებაში. დეკოდერი, რომელიც ვალდებულია წაშალოს TD მარკერი, ამ პროცესში მეხსიერების არასწორ მისამართებზე წერს მონაცემებს. ეს კი ჰაკერს აძლევს შესაძლებლობას, დააზიანოს სისტემის ფუნქციური მაჩვენებლები და შეცვალოს პროგრამის მუშაობის ლოგიკა.

რა საფრთხეს ქმნის ეს?

მოწყვლადობა რეალურია და ექსპლუატაციას ექვემდებარება. ნებისმიერი სერვისი, რომელიც FFmpeg-ს იყენებს მომხმარებლის მიერ მოწოდებული ვიდეო ნაკადების დასამუშავებლად, რისკის ქვეშ დგას. განსაკუთრებით დაუცველია CCTV სისტემები, სათვალთვალო კამერები და ვიდეო ტრანსკოდირების სერვისები, რომლებიც ავტომატურად უკავშირდებიან გარე წყაროებს.

ამ დროისთვის, აღმოჩენილი ხარვეზების ნაწილი უკვე დაფიქსირებულია და მათ მიენიჭათ CVE (Common Vulnerabilities and Exposures) კოდები, ხოლო დანარჩენი საკითხები Depthfirst-ის შიდა სისტემებშია აღრიცხული და შესწორების პროცესშია.