FFmpeg में इक्कीस ज़ीरो-डे
FFmpeg बग्स की मानी गई गंभीरता
- कई लोग RTSP/RTP समस्याओं को गंभीर मानते हैं क्योंकि ये ingest पाइपलाइनों, surveillance/CCTV प्रणालियों, और attacker-controlled URLs स्वीकार करने वाली transcoding सेवाओं को प्रभावित कर सकती हैं।
- अन्य लोग कहते हैं कि वास्तविक exploitation के लिए संभवतः ASLR leaks या अन्य बग्स के साथ chaining करनी पड़ेगी, लेकिन media stacks के लिए addresses leak करना आसान माना जाता है।
- कुछ का तर्क है कि 21 में से कई मुद्दे niche हैं, खराब deployment practices की मांग करते हैं, या सिर्फ़ किसी बड़े exploit chain का एक चरण हैं।
FFmpeg का सुरक्षा रिकॉर्ड और दृष्टिकोण
- टिप्पणीकारों का कहना है कि FFmpeg में fuzzing से पाए गए memory corruption bugs का लंबे समय से “अथाह” भंडार रहा है और इसे untrusted input पर unsandboxed चलाना सुरक्षित नहीं है।
- FFmpeg को security reports के प्रति hostile या dismissive बताया गया है; कुछ लोग इसे समझने योग्य burnout मानते हैं, जबकि अन्य इसे गैर-जिम्मेदाराना मानते हैं।
- इस बात पर असहमति है कि अस्पष्ट codec bugs कितने “बड़ी बात” हैं; कुछ dev perspectives इन्हें कम करके आँकते हैं, जबकि अन्य ज़ोर देते हैं कि attackers कोई भी समर्थित codec चुन सकते हैं।
Sandboxing, Deployment, और वास्तविक दुनिया का जोखिम
- बताया जाता है कि browsers FFmpeg-जैसे components को अलग sandboxed processes में allocator hardening के साथ चलाते हैं; फिर भी, chained sandbox escape एक खतरा बना रहता है।
- सुझाए गए mitigations: containers, firejail/bubblewrap, gVisor, VMs, या Qubes-शैली के per-app VMs, हालांकि hardware acceleration और GPUs sandboxing को जटिल बनाते हैं।
- कुछ लोग TVs/embedded devices को प्रभावी रूप से unsandboxed मानते हैं और उन्हें network level पर अलग रखने का सुझाव देते हैं।
विकल्प और पुनर्लेखन (Rust, GStreamer, आदि)
- GStreamer को एक pluggable media graph system के रूप में चर्चा में लाया गया है; यह FFmpeg को wrap कर सकता है, लेकिन इसकी अपनी codecs और elements भी हैं।
- कई लोग “इसे Rust में rewrite करो” की मांग करते हैं, लेकिन अन्य का तर्क है:
- FFmpeg के hot paths और assembly के लिए फिर भी
unsafeकी आवश्यकता होगी और यह अपने-आप logic bugs को ठीक नहीं करेगा। - एक सीधा port वही कमजोरियाँ नए language में फिर से बना सकता है।
- FFmpeg के hot paths और assembly के लिए फिर भी
ज़ीरो-डे शब्दावली पर बहस
- कई टिप्पणियाँ कहती हैं कि लेख “zero-day” का गलत उपयोग करता है; ऐतिहासिक रूप से इसका अर्थ disclosure से पहले या उसके समय exploited होना है, न कि सिर्फ़ “गंभीर bug”।
- vulnerabilities बनाम exploits को अलग करने और यह देखने पर चर्चा है कि इस शब्द का अर्थ कैसे बदल गया है।
Security Research, LLMs, और प्रोत्साहन
- “clout-chasing” researchers और low-quality, LLM-generated reports की कड़ी आलोचना की गई है जो maintainers को भर देती हैं।
- अन्य लोग जवाब देते हैं कि researcher व्यवहार से परे भी vulnerabilities मौजूद रहती हैं।
- कुछ का तर्क है कि tools को केवल reports भेजने से आगे बढ़कर उच्च-गुणवत्ता वाले PRs सबमिट करने चाहिए; जहाँ ऐसा किया जाता है, वहाँ सफलता दर अधिक बताई गई है।
- कुछ लोगों को चिंता है कि advanced LLM-based tools शक्तिशाली exploits को चुपचाप खोजकर जमा कर सकते हैं।