Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Взлом по подписке: ИИ-агенты против вашего мобильного приложения

Вебинар пройдет 2 июля, начало в 14:00. Разберем, как сделать взлом вашего приложения невыгодным для злоумышленника

Вы скачали фильм на вечер, а домашний сервер уже выполняет чужие команды. Механика уязвимости PixelSmash в FFmpeg

leer en español

16577
FFmpeg PixelSmash Jellyfin MagicYUV libavcodec Nextcloud PhotoPrism JFrog
Вы скачали фильм на вечер, а домашний сервер уже выполняет чужие команды. Механика уязвимости PixelSmash в FFmpeg
FFmpeg PixelSmash Jellyfin MagicYUV libavcodec Nextcloud PhotoPrism JFrog

Ошибка в декодере показала, насколько опасной бывает доверенная обработка чужих файлов.

image

Один повреждённый видеофайл иногда опасен ещё до запуска, и новая уязвимость PixelSmash в FFmpeg наглядно показала, как обычная обработка ролика может превратиться в сбой сервера или запуск чужого кода.

Проблема получила идентификатор CVE-2026-8461 и оценку 8,8 балла по шкале CVSS 3.1 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H). Уязвимость нашли в декодере MagicYUV, который входит в libavcodec, основную библиотеку FFmpeg для кодирования и декодирования видео. Атаке поддаются вредоносные файлы в форматах AVI, MKV и MOV, если приложение использует FFmpeg с включённым декодером MagicYUV.

PixelSmash связана с ошибкой при обработке отдельных частей видеокадра. Декодер и механизм выделения памяти по-разному рассчитывают высоту цветовых данных, из-за чего программа может записать данные за пределы выделенной области памяти.

Самое тревожное, что атака запускается не только при непосредственном открытии ролика, но и, например, при создании миниатюры, сканировании медиатеки или автоматической загрузке файла в сервис.

Специалисты JFrog показали тестовую атаку на Jellyfin 10.11.9 и Nextcloud с включённым предпросмотром фильмов. В демонстрации вредоносный AVI-файл попадал в медиатеку Jellyfin, сервер автоматически запускал ffprobe для извлечения метаданных, после чего ошибка позволяла выполнить команду от имени служебного пользователя jellyfin. Такой сценарий требует отключённой ASLR, защиты, которая мешает предсказать расположение данных в памяти. Сама CVE-2026-8461 не обходит ASLR.

Даже без запуска кода уязвимость может привести к отказу в обслуживании, то есть к падению или зависанию уязвимого приложения. Среди затронутых сценариев JFrog назвала Kodi, OBS Studio, PhotoPrism, Emby, Nextcloud, генераторы миниатюр GNOME, KDE и XFCE. Plex оказался защищён лучше, так как использует собственную сборку FFmpeg с отключёнными декодерами и коротким списком разрешённых компонентов.

FFmpeg исправил PixelSmash в версии 8.1.2, выпущенной 17 июня. Jellyfin уже обновил встроенную версию FFmpeg, а PhotoPrism готовит блокировку опасных форматов. Для снижения риска разработчикам и администраторам стоит обновить FFmpeg и приложения, которые поставляют библиотеку внутри сборки, не пропускать медиаконтент из недоверенных источников через автоматические сканеры и оставить ASLR включённой.