Egyetlen videófájllal tesz lehetővé távoli kódfuttatást egy Kritikus FFmpeg sérülékenység

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

A JFrog Security Research kutatója által felfedezett CVE-2026-8461, más néven „PixelSmash”, egy súlyos (CVSS 8,8) heap típusú memóriakezelési sérülékenység az FFmpeg MagicYUV videodekóderében. A hiba egy speciálisan kialakított, akár mindössze 50 KB méretű AVI, MKV vagy MOV fájl feldolgozásakor aktiválható, és alapvetően egy heap out-of-bounds write állapotot idéz elő. Mivel a MagicYUV dekóder alapértelmezetten engedélyezve van az FFmpeg legtöbb buildjében,
a sérülékenység rendkívül széles körben érinti azokat az alkalmazásokat és szolgáltatásokat, amelyek az FFmpeg-et használják videófeldolgozásra, beleértve a médialejátszókat, médiaszervereket, felhőalapú transzkódoló rendszereket, fájlkezelők előnézeti funkcióit, valamint számos AI és gépi tanulási platformot.

A hiba gyökere a MagicYUV dekóder szeletkezelési logikájában található. Bizonyos YUV420P típusú videók esetén eltérés keletkezik a krominancia-síkok memóriaterületének lefoglalása és a szeletek feldolgozásakor használt méretszámítás között. Amikor egy videószelet (slice) magassága páratlan, a dekóder minden egyes szelet feldolgozásakor egy további képsort írhat a puffer lefoglalt méretén túlra, ami több szelet egymás utáni feldolgozása során puffer-túlcsorduláshoz vezethet.
A kutatók kimutatták, hogy a túlcsordulás nem csupán összeomlást okozhat, hanem felülírhat
olyan FFmpeg-objektumokat is, mint az AVBuffer struktúra, amely függvénymutatókat tartalmaz. Ezzel lehetőség nyílik a program vezérlési folyamatának eltérítésére és tetszőleges parancsok futtatására.

A JFrog sikeresen demonstrálta a távoli kódfuttatást (RCE) több valós környezetben is. A Jellyfin médiaszerveren elegendő volt egy rosszindulatú videófájlt elhelyezni az általa monitorozott médiakönyvtárban, hogy az automatikus metaadat feldolgozás során a beágyazott FFmpeg végrehajtsa a támadó parancsait. Hasonló módon sérülékenynek bizonyult
a Nextcloud videó-előnézeti modulja is, amely a feltöltött fájlokhoz bélyegképeket generál. A kutatók hangsúlyozták ugyanakkor, hogy a bemutatott RCE-exploit csak kikapcsolt ASLR (Address Space Layout Randomization) mellett működött megbízhatóan. Alapértelmezett Linux-konfigurációban a hiba jelenleg elsősorban szolgáltatásmegtagadásos (DoS) támadásokra alkalmas, de egy jövőbeni információszivárgási sérülékenységgel kombinálva a modern védelmek is megkerülhetők lehetnek.

A PixelSmash különösen veszélyes ellátásilánc-sérülékenységnek tekinthető, mert nem az érintett alkalmazások saját hibája, hanem az FFmpeg egyik komponenséből öröklődik tovább. A kutatók összeomlást vagy memóriakorrupt működést igazoltak többek között a Kodi, mpv, OBS Studio, Jellyfin, Emby, Immich, PhotoPrism és Nextcloud rendszereknél, valamint videófeldolgozást végző AI-platformoknál is. A sérülékenységet 2026. május 13-án jelentették az FFmpeg fejlesztőinek, akik 2026. június 17-én kiadták a javítást tartalmazó FFmpeg 8.1.2 verziót. A felhasználóknak és rendszergazdáknak haladéktalanul javasolt a frissítés telepítése, illetve szükség esetén a MagicYUV dekóder letiltása,
mivel a sérülékenység kihasználásához elegendő egyetlen rosszindulatú videófájl feldolgozása.