Thought Leadership
Eine kritische Sicherheitslücke in der Open-Source-Software FFmpeg ermöglicht die Ausführung von Schadcode allein durch das Erstellen von Videovorschauen.
Die IT-Sicherheitsfirma JFrog hat eine kritische Schwachstelle in dem weit verbreiteten Open-Source-Medien-Framework FFmpeg identifiziert. Der Fehler wird unter der Kennung CVE-2026-8461 geführt, trägt den Namen PixelSmash und weist einen Schweregrad von 8,8 von 10 Punkten auf. Betroffen ist der Decoder für den verlustfreien Videocodec MagicYUV, der standardmäßig in der Kernbibliothek libavcodec aktiviert ist. Die technische Ursache liegt in einem Rundungsfehler bei der Verarbeitung von Videoframes, die in horizontale Abschnitte unterteilt sind.
Bei Videoformaten wie YUV420, die Farbinformationen mit der halben Auflösung der Helligkeitskomponente speichern, muss die Höhe der Abschnitte durch zwei geteilt werden. Ergibt sich dabei eine ungerade Zahl, rundet die Software bei der Zuweisung des Speichers ab, beim eigentlichen Schreibvorgang jedoch auf. Dies führt zu einem systematischen Schreiben über die Puffergrenzen hinaus im Heap-Speicher. Angreifer können diesen Überlauf nutzen, um eine nachfolgende Datenstruktur namens AVBuffer gezielt zu überschreiben. Da diese Struktur einen Funktionszeiger für die Bereinigung des Speichers enthält, lässt sich das System manipulieren, um beliebigen Schadcode einzuschleusen.
Weitreichende Betroffenheit von Mediensystemen ohne Nutzerinteraktion
Das Sicherheitsrisiko ist erheblich, da FFmpeg als Standardkomponente in zahlreichen Anwendungen, Betriebssystemen, Medienservern und Smart-TVs integriert ist. Sicherheitsforscher bestätigten erfolgreiche Systemabstürze und potenzielle Übernahmen bei Programmen wie Kodi, mpv, Jellyfin, Emby, Nextcloud, Immich, PhotoPrism und OBS Studio. Ein besonderes Risiko besteht darin, dass für eine erfolgreiche Kompromittierung keine aktive Interaktion des Nutzers erforderlich ist.
Es genügt, wenn eine manipulierte Videodatei in Formaten wie AVI, MKV oder MOV auf das System gelangt. Sobald ein Linux-Dateimanager über den ffmpegthumbnailer automatisch ein Vorschaubild generiert oder ein Medienserver eine Bibliothek scannt, wird die Schwachstelle im Hintergrund ausgelöst. Die Analysten erklärten zu den Systemeigenschaften während eines Angriffs:
„Die Ausnutzung erfolgt völlig lautlos. In der Weboberfläche ist der einzige Indikator ein generisches Dateisymbol dort, wo eigentlich ein Vorschaubild sein sollte. Keine Fehler oder Pop-ups alarmieren den Benutzer, und der resultierende Absturz verbleibt tief in den serverseitigen Protokollen vergraben, die von Administratoren normalerweise nicht überwacht werden.“
JFrog
Empfohlene Aktualisierungen und Behebungsmaßnahmen
Die Entwickler von FFmpeg haben zur Behebung des Fehlers im Juni 2026 die korrigierte Version 8.1.2 veröffentlicht. Anwendern und Administratoren betroffener Systeme wird dringend empfohlen, die Software zeitnah auf diesen neuesten Stand zu bringen. Falls eine direkte Aktualisierung nicht möglich ist, kann die Sicherheitslücke als temporäre Schutzmaßnahme dadurch entschärft werden, dass der MagicYUV-Decoder beim Kompilieren der Software explizit deaktiviert wird.
(red)
