FFmpeg, ein freies Multimedia-Framework, und dessen Abspaltung Libav bilden die technische Grundlage unzähliger Audio/Video-Programme. Jedoch enthalten auch diese beiden Bibliotheken Fehler und Sicherheitslücken, die sich somit in die anderen Programme fortpflanzen.

Vor zwei Jahren nahmen die Google-Ingenieure Mateusz “j00ru” Jurczyk und Gynvael Coldwind das zum Anlass, um gezielt in den beiden wichtigen Bibliotheken nach Fehlern zu fahnden. Über 1000 (tatsächlich bereits 1120) der seit Ende Januar 2012 von ihnen entdeckten Fehler wurden in der Zwischenzeit in FFmpeg bereinigt. FFmpeg-Hauptentwickler Michael Niedermayer hat allein 750 davon behoben, während in Libav bisher 413 der gemeldeten Fehler korrigiert wurden.

Die Fehler haben Jurczyk und Coldwind nicht händisch gesucht, stattdessen nahmen sie den Google AddressSanitizer (ASan) zu Hilfe, ein Tool zum Erkennen von Speicherfehlern. Die beiden ließen eine mehrere tausend Mediendateien umfassende Sammlung los, die sie zudem mit automatisch erzeugten Fehlern spickten (Fuzzing), um Abstürze zu provozieren. Dabei förderten sie typische Probleme wie falsche Zeiger-Arthmetik, NULL-Zeiger-Dereferenzierung, fehlerhafte free()-Aufrufe, falsche Verwendung von nicht-initialisiertem Speicher, Divisionsfehler et cetera zutage, die sie als Bug Reports meldeten.

(jk, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE