In de afgelopen twee jaar hebben werknemers van het Google Security Team een buslading bugs in de populaire videosoftware FFmpeg ontdekt, wat uiteindelijk voor meer dan 1000 bugfixes in de software zorgde. Een aantal van de bugs waren beveiligingslekken of andere beveiligingsproblemen.

FFmpeg is vrije software voor het verwerken van multimediadata, zoals video en audio. De libraries van FFmpeg zijn onder andere aanwezig in Google Chrome, MPlayer, VLC en xine, maar worden ook door Facebook en YouTube gebruikt. De software had echter een verleden van betrouwbaarheids- en veiligheidsproblemen, aldus Google.

Onderzoek

"Bij Google is security een topprioriteit, niet alleen voor onze eigen producten, maar voor het hele internet", zegt Mateusz Jurczyk, één van de bugjagers van Google. Samen met Gynvael Coldwind onderzocht hij FFmpeg. De twee security engineers van het Google Security Team gebruikten daarvoor een fuzzer. Een fuzzer bestookt software met allerlei data, wat tot crashes kan leiden. Deze crashes kunnen weer op bugs en mogelijke beveiligingsproblemen wijzen.

Bij een eerste test met een fuzzer, die een week duurde, werden 130 problemen in de code aangetroffen. Volgens de onderzoekers zou naar schatting 10% tot 20% van deze problemen door een aanvaller te misbruiken zijn. Uiteindelijk volgden nog tientallen andere fuzzingtests, wat in totaal voor meer dan 1000 bugfixes zorgde, zo laat Jurczyk weten. Hij merkt op dat bij elke test de veiligheid van FFmpeg iets is verbeterd en er steeds minder problemen werden gevonden.