AIO APEX
Security

PixelSmash: ثغرة خطيرة في FFmpeg تسمح للمهاجمين بتنفيذ أكواد عبر ملفات فيديو خبيثة

BleepingComputer
مشاركة:
PixelSmash: ثغرة خطيرة في FFmpeg تسمح للمهاجمين بتنفيذ أكواد عبر ملفات فيديو خبيثة

كشف باحثون أمنيون عن ثغرة PixelSmash، وهي ثغرة خطيرة من نوع تجاوز سعة الكومة (heap overflow) في مفكك ترميز الفيديو MagicYUV ضمن FFmpeg، يمكن استغلالها عبر ملف فيديو معدّ خبيثًا. الثغرة، المسجلة تحت CVE-2026-8461 بدرجة خطورة 8.8 (عالية) على مقياس CVSS، تم إصلاحها في الإصدار FFmpeg 8.1.2 الذي صدر في 17 يونيو 2026 — لكن كل تطبيق يوزّع FFmpeg دون تحديث يبقى عرضة للخطر.

ما هي الثغرة؟

تقع المشكلة في مفكك ترميز MagicYUV داخل مكتبة libavcodec الخاصة بـ FFmpeg. هناك تباين بين طريقة حساب مُخصّص الإطارات (frame allocator) وطريقة المفكك لارتفاعات مستويات الكروما (chroma planes)، مما يؤدي إلى شرط كتابة خارج حدود الكومة. يمكن للمهاجمين استغلال ذلك عبر إنشاء ملفات AVI أو MKV أو MOV خبيثة. لا يشترط تشغيل الملف بالكامل — ففي بعض الإعدادات، يكفي مسح دليل أو توليد صورة مصغّرة (thumbnail) لتفعيل الثغرة.

FFmpeg هو العمود الفقري لكل شيء تقريبًا يشغّل أو يشفّر أو يعالج الفيديو: خوادم الوسائط، تطبيقات البث، أدوات معاينة الصور، مديري الملفات على سطح المكتب، وتطبيقات المراسلة. هذا الانتشار الواسع هو ما يجعل PixelSmash ذات أهمية كبيرة. فثغرة واحدة في مكتبة واحدة تنتشر عبر كل تطبيق يوزّع نسخة غير مُصحّحة.

من المعرض للخطر وماذا يمكن للمهاجمين فعله؟

تختلف التأثيرات حسب الهدف. على الخوادم التي تشغل Jellyfin أو Nextcloud دون تفعيل ASLR، تسمح الثغرة بتنفيذ أكواد عن بُعد (remote code execution) — أي مهاجم قادر على إدراج ملف فيديو خبيث في مكتبة وسائط قد يسيطر على الخادم بالكامل. بالنسبة لتطبيقات العميل مثل Kodi وEmby وPhotoPrism وOBS Studio، فإن النتيجة الأكثر ترجيحًا هي تعطل التطبيق أو رفض الخدمة. كما تتأثر أدوات توليد الصور المصغّرة لسطح المكتب في بيئات GNOME وKDE وXFCE، مما يعني أن مستخدمًا يتصفح مجلدًا يحتوي على ملف فيديو خبيث قد يفعّل الثغرة دون قصد.

القلق الأكبر يشمل منصات المراسلة. أشار الباحثون إلى أن Slack وDiscord وTelegram وWhatsApp قد تكون متأثرة عندما تمرر خطوط معالجة المرفقات (attachment pipelines) ملفات الفيديو عبر FFmpeg لتوليد الصور المصغّرة. غالبًا ما تعالج هذه التطبيقات الوسائط المستلمة تلقائيًا في الخلفية — لا يتطلب الأمر أي إجراء من المستخدم سوى استلام الملف.

ما الذي يجب فعله؟

قم بالتحديث فورًا إلى FFmpeg 8.1.2. إذا كنت تدير Jellyfin أو Nextcloud أو أي تطبيق وسائط مستضاف ذاتيًا، تحقق مما إذا كانت الحزمة قد أُعيد بناؤها ضد النسخة المُصحّحة من FFmpeg — تحديث التطبيق وحده لا يكفي إذا كان يحزم نسخته الخاصة من FFmpeg. يجب على مشغّلي خوادم الوسائط التعامل مع هذا التحديث باعتباره تصحيحًا عاجلاً، خاصة أي خادم مكشوف لمستخدمين خارجيين أو يمكن الوصول إليه عبر الإنترنت العام. تم الإبلاغ عن الثغرة لأول مرة عبر BleepingComputer.

vulnerabilitysecurityremote-code-executionCVEopen-sourceffmpegvideo

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
مشاركة: