AIO APEX
Security

PixelSmash : une faille critique dans FFmpeg permet aux attaquants d'exécuter du code via des fichiers vidéo malveillants

BleepingComputer
Partager:
PixelSmash : une faille critique dans FFmpeg permet aux attaquants d'exécuter du code via des fichiers vidéo malveillants

Des chercheurs en sécurité ont dévoilé PixelSmash, une vulnérabilité de type heap overflow de sévérité élevée dans le décodeur vidéo MagicYUV de FFmpeg, exploitable via un fichier vidéo piégé. La faille, référencée CVE-2026-8461 avec un score CVSS de 8,8 (High), a été corrigée dans FFmpeg 8.1.2 sorti le 17 juin 2026 — mais toute application embarquant FFmpeg sans mise à jour reste vulnérable.

En quoi consiste la vulnérabilité

Le bug se situe dans le décodeur MagicYUV au sein de la bibliothèque libavcodec de FFmpeg. Un décalage entre la manière dont l'allocation de trames et le décodeur calculent les hauteurs de plans de chrominance crée une condition d'écriture hors limites sur le heap. Les attaquants peuvent l'exploiter en fabriquant des fichiers AVI, MKV ou MOV malveillants. Le fichier n'a pas besoin d'être lu jusqu'au bout — dans certaines configurations, un simple scan d'un répertoire ou la génération d'une miniature suffit à déclencher la faille.

FFmpeg est le socle de pratiquement tout ce qui lit, encode ou manipule de la vidéo : serveurs multimédia, apps de streaming, outils de prévisualisation d'images, gestionnaires de fichiers de bureau et applications de messagerie. Cette omniprésence est précisément ce qui rend PixelSmash important. Une vulnérabilité dans une bibliothèque unique se propage à travers toutes les applications qui embarquent une version non corrigée.

Qui est concerné et ce que les attaquants peuvent faire

L'impact dépend de la cible. Sur des serveurs exécutant Jellyfin ou Nextcloud sans ASLR activé, la faille permet l'exécution de code à distance — un attaquant qui parvient à introduire un fichier vidéo malveillant dans une bibliothèque multimédia peut potentiellement prendre le contrôle complet du serveur. Pour les applications client comme Kodi, Emby, PhotoPrism et OBS Studio, le résultat le plus fiable est un plantage ou un déni de service. Les générateurs de miniatures de bureau dans GNOME, KDE et XFCE sont également affectés, ce qui signifie qu'un utilisateur qui navigue simplement vers un dossier contenant un fichier vidéo malveillant pourrait déclencher l'exploit involontairement.

La préoccupation plus large concerne les plateformes de messagerie. Les chercheurs ont noté que Slack, Discord, Telegram et WhatsApp pourraient être affectés lorsque leurs pipelines de pièces jointes transmettent des fichiers vidéo à FFmpeg pour la génération de miniatures. Ces apps traitent souvent automatiquement les médias reçus en arrière-plan — aucune action de l'utilisateur au-delà de la réception d'un fichier n'est nécessaire.

Que faire

Mettez à jour vers FFmpeg 8.1.2 immédiatement. Si vous utilisez Jellyfin, Nextcloud ou toute autre application multimédia auto-hébergée, vérifiez que le paquet a été reconstruit avec la version corrigée de FFmpeg — une mise à jour logicielle de l'application seule ne suffit pas si elle embarque sa propre build de FFmpeg. Les opérateurs de serveurs multimédia doivent traiter cela comme un correctif urgent, en particulier toute instance exposée à des utilisateurs externes ou accessible depuis l'internet public. La vulnérabilité a été initialement rapportée par BleepingComputer.

vulnerabilitysecurityremote-code-executionCVEopen-sourceffmpegvideo

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Partager: