Es wurde eine problematische Schwachstelle in FFmpeg 2.0 gefunden. Es betrifft die Funktion decode_vol_header
der Datei libavcodec/mpeg4videodec.c. Dank Manipulation mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-119 vorgenommen. Am 11.07.2013 wurde der Fehler eingeführt. Das Problem wurde am 20.02.2014 von Mateusz Jurczyk and Gynvael Coldwind durch Google Security Team als avcodec/mpeg4videodec: Check for bitstream overread in decode_vol_header() mittels GIT Commit (GIT Repository) publiziert. Bereitgestellt wird das Advisory unter git.videolan.org.
Die Identifikation der Schwachstelle wird mit CVE-2014-125005 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar.
Vor einer Veröffentlichung handelte es sich 224 Tage um eine Zero-Day Schwachstelle. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt.
Dieser kann von git.videolan.org heruntergeladen werden. Als bestmögliche Massnahme wird Patching empfohlen. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.
Unter anderem wird der Fehler auch in in anderen Verwundbarkeitsdatenbanken dokumentiert: X-Force (91658).