- Автор темы
- #1
Разработчики FFmpeg исправили уязвимость PixelSmash, обнаруженную в декодере MagicYUV. Специально подготовленный видеофайл мог вызвать сбой в приложении на базе libavcodec, а при определенных условиях даже привести к удаленному выполнению произвольного кода на медиасерверах Jellyfin и Nextcloud.
Уязвимость получила идентификатор CVE-2026-8461 (8,8 балла по шкале CVSS). Как объясняют исследователи из компании JFrog, она представляет собой проблему out-of-bounds записи в буфере хипа и связана с обработкой слайсов — независимых областей видеокадра, которые декодируются отдельно. Корень проблемы заключался в том, что аллокатор кадров и декодер по-разному рассчитывали высоту цветоразностных плоскостей.
Для эксплуатации бага подходит файл размером около 50 Кбайт в формате AVI, MKV или MOV. При этом уязвимость срабатывает не только при открытии видео: достаточно просто перейти в каталог с вредоносным файлом, если файловый менеджер автоматически генерирует превью. На серверах полезная нагрузка и вовсе активируется во время извлечения метаданных, создания миниатюр или других автоматизированных операций.
Специалисты предупредили, что перед PixelSmash уязвимы: Kodi, mpv, Emby, Immich, PhotoPrism, OBS Studio, а также генератор превью ffmpegthumbnailer, который используют GNOME, KDE и XFCE. Кроме того, под угрозой могут находиться NAS, «умные» телевизоры, облачные сервисы и любые другие продукты, где задействован libavcodec с включенным декодером MagicYUV.
При этом Plex оказался защищен от проблемы PixelSmash, так как использует собственную сборку FFmpeg, где большинство декодеров отключено, а также используется строгий список разрешенных форматов.
Исследователи продемонстрировали полноценное удаленное выполнение кода с помощью CVE-2026-8461 на Jellyfin 10.11.9. Вредоносный файл AVI попадал в медиатеку, после чего сервер автоматически запускал ffprobe для сбора метаданных. В итоге вредоносная команда выполнялась с тем же правами, что и процесс Jellyfin.
Подчеркивается, что подобную атаку можно провести без взаимодействия с жертвой через торренты. Если клиент сохраняет загрузки прямо в каталог медиатеки, Jellyfin замечает новый файл и самостоятельно отправляет его на анализ. Однако представленный специалистами эксплоит требует отключения ASLR, так как сама по себе уязвимость CVE-2026-8461 не позволяет обойти защиту.
Аналитики JFrog сообщили об уязвимости разработчикам FFmpeg 13 мая 2026 года. Исправление вошло в состав версии FFmpeg 8.1.2, выпущенной 17 июня.
Разработчики Jellyfin уже обновили встроенную версию FFmpeg, а представители PhotoPrism сообщили, что готовят блок-лист опасных форматов. В Nextcloud отказались выпускать отдельное исправление, так как проблема находится в стороннем компоненте FFmpeg.
Пользователям и администраторам рекомендуется как можно скорее перейти на FFmpeg 8.1.2. Исследователи предупреждают, что поверхность атаки PixelSmash огромна, так как декодер MagicYUV входит в состав сотен проектов, которые передают FFmpeg недоверенные файлы, рассчитывая на их безопасную обработку.
Уязвимость получила идентификатор CVE-2026-8461 (8,8 балла по шкале CVSS). Как объясняют исследователи из компании JFrog, она представляет собой проблему out-of-bounds записи в буфере хипа и связана с обработкой слайсов — независимых областей видеокадра, которые декодируются отдельно. Корень проблемы заключался в том, что аллокатор кадров и декодер по-разному рассчитывали высоту цветоразностных плоскостей.
Для эксплуатации бага подходит файл размером около 50 Кбайт в формате AVI, MKV или MOV. При этом уязвимость срабатывает не только при открытии видео: достаточно просто перейти в каталог с вредоносным файлом, если файловый менеджер автоматически генерирует превью. На серверах полезная нагрузка и вовсе активируется во время извлечения метаданных, создания миниатюр или других автоматизированных операций.
Специалисты предупредили, что перед PixelSmash уязвимы: Kodi, mpv, Emby, Immich, PhotoPrism, OBS Studio, а также генератор превью ffmpegthumbnailer, который используют GNOME, KDE и XFCE. Кроме того, под угрозой могут находиться NAS, «умные» телевизоры, облачные сервисы и любые другие продукты, где задействован libavcodec с включенным декодером MagicYUV.
При этом Plex оказался защищен от проблемы PixelSmash, так как использует собственную сборку FFmpeg, где большинство декодеров отключено, а также используется строгий список разрешенных форматов.
Исследователи продемонстрировали полноценное удаленное выполнение кода с помощью CVE-2026-8461 на Jellyfin 10.11.9. Вредоносный файл AVI попадал в медиатеку, после чего сервер автоматически запускал ffprobe для сбора метаданных. В итоге вредоносная команда выполнялась с тем же правами, что и процесс Jellyfin.
Подчеркивается, что подобную атаку можно провести без взаимодействия с жертвой через торренты. Если клиент сохраняет загрузки прямо в каталог медиатеки, Jellyfin замечает новый файл и самостоятельно отправляет его на анализ. Однако представленный специалистами эксплоит требует отключения ASLR, так как сама по себе уязвимость CVE-2026-8461 не позволяет обойти защиту.
Аналитики JFrog сообщили об уязвимости разработчикам FFmpeg 13 мая 2026 года. Исправление вошло в состав версии FFmpeg 8.1.2, выпущенной 17 июня.
Разработчики Jellyfin уже обновили встроенную версию FFmpeg, а представители PhotoPrism сообщили, что готовят блок-лист опасных форматов. В Nextcloud отказались выпускать отдельное исправление, так как проблема находится в стороннем компоненте FFmpeg.
Пользователям и администраторам рекомендуется как можно скорее перейти на FFmpeg 8.1.2. Исследователи предупреждают, что поверхность атаки PixelSmash огромна, так как декодер MagicYUV входит в состав сотен проектов, которые передают FFmpeg недоверенные файлы, рассчитывая на их безопасную обработку.