FFmpeg'in avcodec/exif bileşeninde, görüntü dosyası dizinleri (IFD'ler) işlenirken dört baytlık bir yığın-arabellek taşması (heap-buffer-overflow) güvenlik açığı keşfedildi. Bu kritik hata, .png, .jpg, .webp ve .avif gibi yaygın olarak kullanılan görüntü formatlarını etkilemektedir. Güvenlik açığının temel nedeni, FFmpeg'in EXIF verilerini dahili yapılarına dönüştürme sürecinde ortaya çıkmaktadır. Özellikle, decode_exif_chunk fonksiyonu EXIF verileri için bir arabellek ayırırken ve ff_decode_exif_attach_buffer bu verileri çerçeveye iliştirirken, av_exif_parse_buffer fonksiyonunun ham EXIF baytlarını ayrıştırması sırasında bir hata oluşmaktadır.
Makale, FFmpeg'in EXIF işleme mekanizmalarının derinlemesine bir analizini sunarak, AVExifHeaderMode gibi farklı başlık modlarının nasıl çalıştığını açıklıyor. Bu modlar, EXIF verilerinin başlangıcını ve yapısını belirlemede önemli rol oynar. Güvenlik açığı, kod tabanına eklendikten sadece üç gün sonra tespit edildi, bu da FFmpeg geliştirme ekibinin hızlı yanıt verme yeteneğini gösteriyor. Bu tür bellek hataları, sistem kararlılığını ve güvenliğini ciddi şekilde etkileyebilir, kötü niyetli saldırganlar tarafından uzaktan kod çalıştırma veya hizmet reddi saldırıları için kullanılabilir.
Bu güvenlik açığı, yaygın medya işleme kütüphanesi FFmpeg'in milyonlarca uygulamada kullanılan temel işlevlerinde potansiyel güvenlik riskleri barındırıyor.