AIO APEX
Security

PixelSmash: falha crítica no FFmpeg permite execução remota de código através de arquivos de vídeo maliciosos

BleepingComputer
Compartilhar:
PixelSmash: falha crítica no FFmpeg permite execução remota de código através de arquivos de vídeo maliciosos

Pesquisadores de segurança revelaram PixelSmash, uma vulnerabilidade de heap overflow de alta gravidade no decodificador de vídeo MagicYUV do FFmpeg que pode ser acionada por um arquivo de vídeo maliciosamente criado. A falha, CVE-2026-8461 com pontuação CVSS 8.8 (Alta), foi corrigida no FFmpeg 8.1.2 lançado em 17 de junho de 2026 — mas todo aplicativo que distribui o FFmpeg sem atualizar ainda está vulnerável.

O que é a vulnerabilidade

O bug está no decodificador MagicYUV dentro da biblioteca libavcodec do FFmpeg. Uma incompatibilidade entre como o alocador de frames e o decodificador calculam as alturas dos planos chroma cria uma condição de heap out-of-bounds write. Atacantes podem explorar isso criando arquivos AVI, MKV ou MOV maliciosos. O arquivo não precisa ser reproduzido até o final — em algumas configurações, simplesmente escanear um diretório ou gerar uma thumbnail já é suficiente para acionar a falha.

O FFmpeg é a espinha dorsal de praticamente tudo que reproduz, codifica ou lida com vídeo: servidores de mídia, aplicativos de streaming, ferramentas de pré-visualização de imagens, gerenciadores de arquivos desktop e aplicativos de mensagens. Essa onipresença é exatamente o que torna o PixelSmash significativo. Uma única vulnerabilidade de biblioteca se propaga por todos os aplicativos que distribuem uma versão sem correção.

Quem está em risco e o que os atacantes podem fazer

O impacto depende do alvo. Em servidores rodando Jellyfin ou Nextcloud sem ASLR ativado, a falha permite execução remota de código — um atacante que consiga inserir um arquivo de vídeo malicioso em uma biblioteca de mídia pode potencialmente assumir o controle total do servidor. Para aplicativos clientes como Kodi, Emby, PhotoPrism e OBS Studio, o resultado mais comum é um crash ou negação de serviço. Geradores de thumbnails de desktop no GNOME, KDE e XFCE também são afetados, o que significa que um usuário que simplesmente navegue até uma pasta contendo um arquivo de vídeo malicioso pode inadvertidamente acionar o exploit.

A preocupação mais ampla são as plataformas de mensagens. Pesquisadores observaram que Slack, Discord, Telegram e WhatsApp podem ser afetados quando seus pipelines de anexos passam arquivos de vídeo pelo FFmpeg para geração de thumbnails. Esses aplicativos geralmente processam mídia recebida automaticamente em segundo plano — nenhuma ação do usuário além de receber o arquivo é necessária.

O que fazer

Atualize para o FFmpeg 8.1.2 imediatamente. Se você usa Jellyfin, Nextcloud ou qualquer outro aplicativo de mídia auto-hospedado, verifique se o pacote foi recompilado contra a versão corrigida do FFmpeg — uma atualização de software apenas no aplicativo não é suficiente se ele empacota sua própria build do FFmpeg. Operadores de servidores de mídia devem tratar isso como uma correção urgente, especialmente qualquer instância exposta a usuários externos ou acessível pela internet pública. A vulnerabilidade foi reportada primeiramente pelo BleepingComputer.

vulnerabilitysecurityremote-code-executionCVEopen-sourceffmpegvideo

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Compartilhar: