AIO APEX
Security

PixelSmash: Vulnerabilidad crítica en FFmpeg permite a atacantes ejecutar código a través de archivos de video maliciosos

BleepingComputer
Compartir:
PixelSmash: Vulnerabilidad crítica en FFmpeg permite a atacantes ejecutar código a través de archivos de video maliciosos

Investigadores de seguridad han revelado PixelSmash, una vulnerabilidad de alta gravedad de desbordamiento de heap en el decodificador de video MagicYUV de FFmpeg que puede ser desencadenada por un archivo de video manipulado. La falla, CVE-2026-8461 con un puntaje CVSS de 8.8 (Alto), fue parcheada en FFmpeg 8.1.2 lanzado el 17 de junio de 2026 — pero toda aplicación que incluya FFmpeg sin actualizar sigue siendo vulnerable.

¿Cuál es la vulnerabilidad?

El bug reside en el decodificador MagicYUV dentro de la librería libavcodec de FFmpeg. Un desajuste entre cómo el asignador de frames y el decodificador calculan las alturas de los planos de croma crea una condición de escritura fuera de los límites del heap. Los atacantes pueden explotar esto creando archivos AVI, MKV o MOV maliciosos. El archivo no necesita reproducirse por completo — en algunas configuraciones, simplemente escanear un directorio o generar una miniatura es suficiente para desencadenar la falla.

FFmpeg es la columna vertebral de prácticamente todo lo que reproduce, codifica o maneja video: servidores multimedia, apps de streaming, herramientas de previsualización de imágenes, administradores de archivos de escritorio y aplicaciones de mensajería. Esa ubicuidad es exactamente lo que hace que PixelSmash sea significativo. Una sola vulnerabilidad de librería se propaga a través de toda aplicación que incluya una versión sin parchear.

¿Quién está en riesgo y qué pueden hacer los atacantes?

El impacto depende del objetivo. En servidores que ejecutan Jellyfin o Nextcloud sin ASLR habilitado, la falla permite la ejecución remota de código — un atacante que pueda introducir un archivo de video malicioso en una biblioteca multimedia puede potencialmente tomar el control total del servidor. Para aplicaciones cliente como Kodi, Emby, PhotoPrism y OBS Studio, el resultado más probable es un cierre inesperado o denegación de servicio. Los generadores de miniaturas de escritorio en GNOME, KDE y XFCE también están afectados, lo que significa que un usuario que simplemente navegue a una carpeta que contenga un archivo de video malicioso podría desencadenar inadvertidamente el exploit.

La preocupación más amplia son las plataformas de mensajería. Los investigadores señalaron que Slack, Discord, Telegram y WhatsApp podrían verse afectados cuando sus pipelines de adjuntos pasan archivos de video a través de FFmpeg para generar miniaturas. Estas apps a menudo procesan los medios recibidos automáticamente en segundo plano — no se requiere ninguna acción del usuario más allá de recibir un archivo.

¿Qué hacer?

Actualice a FFmpeg 8.1.2 de inmediato. Si ejecuta Jellyfin, Nextcloud o cualquier otra aplicación multimedia autoalojada, verifique si el paquete ha sido recompilado contra la versión parcheada de FFmpeg — una actualización de software de la aplicación por sí sola no es suficiente si incluye su propia compilación de FFmpeg. Los operadores de servidores multimedia deben tratar esto como un parche urgente, especialmente cualquier instancia expuesta a usuarios externos o accesible desde internet público. La vulnerabilidad fue reportada primero por BleepingComputer.

vulnerabilitysecurityremote-code-executionCVEopen-sourceffmpegvideo

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Compartir: