PixelSmash: Kritischer FFmpeg-Fehler ermöglicht Angreifern Code-Ausführung über manipulierte Videodateien
Sicherheitsforscher haben PixelSmash offengelegt, eine Heap-Overflow-Schwachstelle mit hohem Schweregrad im MagicYUV-Videodecoder von FFmpeg, die durch eine manipulierte Videodatei ausgelöst werden kann. Der Fehler, CVE-2026-8461 mit einem CVSS-Score von 8.8 (High), wurde in FFmpeg 8.1.2 behoben, das am 17. Juni 2026 veröffentlicht wurde – aber jede Anwendung, die FFmpeg ohne Update ausliefert, ist weiterhin verwundbar.
Was ist die Schwachstelle
Der Bug befindet sich im MagicYUV-Decoder innerhalb der libavcodec-Bibliothek von FFmpeg. Eine Diskrepanz zwischen der Berechnung der Chroma-Ebenenhöhen durch den Frame-Allokator und den Decoder erzeugt eine Heap-Out-of-Bounds-Write-Bedingung. Angreifer können dies ausnutzen, indem sie manipulierte AVI-, MKV- oder MOV-Dateien erstellen. Die Datei muss nicht vollständig abgespielt werden – in manchen Konfigurationen reicht bereits das Scannen eines Verzeichnisses oder die Erzeugung eines Thumbnails aus, um den Fehler auszulösen.
FFmpeg ist das Rückgrat so ziemlich aller Anwendungen, die Video abspielen, kodieren oder verarbeiten: Medienserver, Streaming-Apps, Bildvorschau-Tools, Desktop-Dateimanager und Messenger. Genau diese Allgegenwart macht PixelSmash so bedeutsam. Eine einzige Bibliotheks-Schwachstelle pflanzt sich in jede Anwendung fort, die eine nicht gepatchte Version ausliefert.
Wer ist betroffen und was Angreifer tun können
Die Auswirkungen hängen vom Ziel ab. Auf Servern mit Jellyfin oder Nextcloud ohne aktiviertes ASLR ermöglicht der Fehler Remote Code Execution – ein Angreifer, der eine manipulierte Videodatei in eine Medienbibliothek einschleusen kann, könnte den gesamten Server übernehmen. Bei Client-Anwendungen wie Kodi, Emby, PhotoPrism und OBS Studio ist das wahrscheinlichste Ergebnis ein Crash oder Denial of Service. Auch Desktop-Thumbnail-Generatoren unter GNOME, KDE und XFCE sind betroffen, was bedeutet, dass ein Benutzer, der lediglich einen Ordner mit einer manipulierten Videodatei durchsucht, unbeabsichtigt den Exploit auslösen könnte.
Die größere Sorge gilt Messaging-Plattformen. Forscher wiesen darauf hin, dass Slack, Discord, Telegram und WhatsApp betroffen sein könnten, wenn ihre Attachment-Pipelines Videodateien zur Thumbnail-Erzeugung durch FFmpeg leiten. Diese Apps verarbeiten empfangene Medien oft automatisch im Hintergrund – es ist keine Benutzeraktion über den Empfang einer Datei hinaus erforderlich.
Was ist zu tun
Aktualisieren Sie sofort auf FFmpeg 8.1.2. Wenn Sie Jellyfin, Nextcloud oder eine andere selbst gehostete Medienanwendung betreiben, prüfen Sie, ob das Paket gegen die gepatchte FFmpeg-Version neu erstellt wurde – ein Software-Update der Anwendung allein reicht nicht aus, wenn sie ihre eigene FFmpeg-Build mitbringt. Medienserver-Betreiber sollten dies als dringenden Patch betrachten, insbesondere Instanzen, die externen Benutzern zugänglich oder aus dem öffentlichen Internet erreichbar sind. Die Schwachstelle wurde zuerst von BleepingComputer gemeldet.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source