Door een speciaal gefabriceerd videobestand te sturen naar het slachtoffer kunnen kwaadwillenden de bibliotheek misbruiken om lokaal opgeslagen bestanden te lezen en door te sturen. Het slachtoffer hoeft de malafide video niet eens te openen. Als het bestand eenmaal op de computer van het slachtoffer staat, zal de bibliotheek het bestand automatisch doorlezen om een thumbnail te genereren wat voldoende is om misbruik te maken van de kwetsbaarheid.

Het is gelukkig niet mogelijk om op afstand code uit te voeren maar dat maakt dit lek niet minder erg. De kwetsbaarheid werd enkele dagen geleden ontdekt door de Russische programmeur Maxim Andreev en is aanwezig in alle stabiele builds van de bibliotheek.

Workaround

James Darnley, een van de mensen achter FFMPEG, heeft inmiddels een workaround naar buiten gebracht. Door HLS (http Live Streaming) uit te schakelen zijn gebruikers tijdelijk veilig. Aan een patch wordt nog gewerkt. FFMPEG is een onderdeel van bijna alle populaire videospelers, editors, mediacenter-software en besturingssystemen. De kans is groot dat jouw videospeler of besturingssysteem ook vatbaar is voor het lek.

Alleen ontwikkelaars van Arch Linux hebben het lek inmiddels gedicht en drukken gebruikers op het hart zo snel mogelijk te updaten naar versie 2.8.4-3. Andere gebruikers zullen moeten wachten op de officiële patch of de workaround moeten uitvoeren.