PixelSmash: آسیبپذیری بحرانی در FFmpeg؛ مهاجمان میتوانند از طریق فایلهای ویدیویی مخرب کد دلخواه اجرا کنند
محققان امنیتی از یک آسیبپذیری با شدت بالا به نام PixelSmash خبر دادهاند. این یک heap overflow در دیکودر MagicYUV از FFmpeg است که با ارسال یک فایل ویدیویی آلوده میتوان از آن بهره برد. این نقص با شناسه CVE-2026-8461 و نمره CVSS ۸.۸ ردیابی میشود. وصله در FFmpeg نسخه ۸.۱.۲ منتشرشده در ۱۷ ژوئن ۲۰۲۶ گنجانده شده است. اما هر نرمافزاری که نسخه قدیمی FFmpeg را با خود حمل کند، همچنان آسیبپذیر است.
آسیبپذیری چیست؟
این باگ در دیکودر MagicYUV از کتابخانه libavcodec FFmpeg نهفته است. ناهماهنگی بین محاسبه ارتفاع صفحات کرومایی در frame allocator و دیکودر باعث میشود دادهها خارج از محدوده heap نوشته شوند. مهاجمان میتوانند با ساخت فایلهای AVI، MKV یا MOV مخرب از این نقص بهرهبرداری کنند. فایل حتی نیازی نیست تا انتها پخش شود. در برخی پیکربندیها، همین که کاربر پوشهای را باز کند یا thumbnail تولید شود، آسیبپذیری فعال میشود.
FFmpeg ستون فقرات تقریباً هر نرمافزاری است که ویدیو پخش، کدگذاری یا پردازش میکند: سرورهای رسانه، اپلیکیشنهای استریم، ابزارهای پیشنمایش، مدیران فایل دسکتاپ و پیامرسانها. همین گستردگی است که PixelSmash را نگرانکننده میکند. یک آسیبپذیری در یک کتابخانه، تمام برنامههایی را که نسخه وصلهنشده را با خود دارند درگیر میکند.
چه کسانی در معرض خطر هستند و مهاجمان چه میتوانند بکنند
شدت تأثیر این نقص به هدف بستگی دارد. در سرورهایی که Jellyfin یا Nextcloud را بدون ASLR اجرا میکنند، امکان اجرای کد از راه دور وجود دارد. مهاجمی که بتواند یک فایل ویدیویی مخرب را وارد کتابخانه رسانه کند، میتواند کنترل کامل سرور را در دست بگیرد. برای اپلیکیشنهای کلاینت مانند Kodi، Emby، PhotoPrism و OBS Studio، محتملترین پیامد کرش یا از کار افتادن سرویس است. تولیدکنندههای thumbnail دسکتاپ در GNOME، KDE و XFCE هم در معرض خطرند. یعنی کاربری که صرفاً پوشهای حاوی ویدیوی مخرب را باز میکند، ممکن است ناخواسته این بهرهبرداری را فعال کند.
نگرانی بزرگتر مربوط به پیامرسانهاست. محققان هشدار دادند که Slack، Discord، Telegram و WhatsApp ممکن است آسیبپذیر باشند، چون سیستم پردازش پیوستهایشان فایلهای ویدیویی را برای thumbnailسازی از FFmpeg رد میکند. این اپلیکیشنها اغلب رسانه دریافتی را بهطور خودکار و در پسزمینه پردازش میکنند. تنها دریافت فایل کافی است؛ هیچ اقدام دیگری از کاربر لازم نیست.
چه باید کرد
فوراً به FFmpeg نسخه ۸.۱.۲ بهروزرسانی کنید. اگر Jellyfin، Nextcloud یا هر نرمافزار رسانه خودمیزبان دیگری دارید، بررسی کنید که بسته نرمافزاری بر پایه نسخه وصلهشده FFmpeg بازسازی شده یا نه. صرف بهروزرسانی خود برنامه کافی نیست، اگر آن برنامه FFmpeg را بهصورت مستقل با خود حمل کند. مدیران سرورهای رسانه باید این وصله را اضطاری بدانند، بهویژه اگر سرورشان در معرض کاربران خارجی یا اینترنت عمومی است. این آسیبپذیری اولین بار توسط BleepingComputer گزارش شد.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source