Zum Inhalt springen

FFmpeg-Sicherheitslücke ermöglicht Systemübernahme über Videovorschauen

Auf den Punkt: Ein Rundungsfehler im MagicYUV-Decoder von FFmpeg ermöglicht über Stack-Overflow die Ausführung beliebigen Codes beim bloßen Abscannen von Videodateien, betrifft aber mit Version 8.1.2 eine behobene Schwachstelle.

JFrog hat in FFmpeg eine kritische Sicherheitslücke (CVE-2026-8461, PixelSmash) identifiziert, die durch die automatische Erstellung von Videovorschauen zu vollständiger Systemübernahme führen kann – ohne dass der Nutzer aktiv werden muss.

Die Sicherheitslücke CVE-2026-8461 („PixelSmash”) mit Schweregrad 8,8 liegt im MagicYUV-Decoder von FFmpeg. Die Ursache ist ein Rundungsfehler: Bei Videoformaten wie YUV420 werden Farb- und Helligkeitsinformationen unterschiedlich aufgelöst gespeichert. Wenn die Höhe von Videoabschnitten durch zwei geteilt werden muss und sich dabei eine ungerade Zahl ergibt, rundet FFmpeg beim Speicherallokation ab, beim tatsächlichen Schreibprozess jedoch auf. Dies führt zu einem Heap-Buffer-Overflow, der eine nachfolgende Datenstruktur (AVBuffer) überschreibt. Diese Struktur enthält einen Funktionszeiger zur Speicherbereinigung, den Angreifer manipulieren können, um beliebigen Code einzuschleusen.

Das Risiko ist für CISOs erheblich, da FFmpeg standardmäßig in zahlreichen Systemen integriert ist: Linux-Dateimanager mit Vorschaufunktion, Medienserver (Jellyfin, Emby), Mediaplayer (Kodi, mpv), Cloud-Speicher (Nextcloud, Immich), Bildverwaltung (PhotoPrism), Streamingsoftware (OBS Studio) und Smart-TVs. Attacken erfordern keine Nutzerinteraktion: Eine manipulierte Videodatei (AVI, MKV, MOV) genügt. Sobald der System automatisch Vorschaubilder generiert oder Medienserver ihre Bibliotheken scannen, wird die Schwachstelle im Hintergrund ausgelöst. JFrog beschreibt dies als „lautlose Ausnutzung” – der einzige sichtbare Indikator ist ein generisches Dateisymbol statt eines Vorschaubildes, während Abstürze in Server-Logs verborgen bleiben.

FFmpeg-Entwickler haben die Schwachstelle in Version 8.1.2 behoben (Juni 2026). Unternehmen sollten eine Bestandsaufnahme durchführen, welche kritischen Systeme FFmpeg nutzen, und umgehend aktualisieren. Wo Updates nicht sofort möglich sind, kann als Übergangslösung der MagicYUV-Decoder beim Kompilieren explizit deaktiviert werden – dies erfordert allerdings das Neukompilieren von FFmpeg und Abhängigkeiten und sollte nur nach gründlicher Kompatibilitätsprüfung erfolgen.


Quelle: www.it-daily.net · Erschienen 24. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.

Share on: