Zum Inhalt springen

Kritische Sicherheitslücke in FFmpeg-Decoder gefährdet Media-Anwendungen

Auf den Punkt: CVE-2026-8461 im FFmpeg-MagicYUV-Decoder ermöglicht Denial-of-Service und Remote Code Execution durch präparierte Media-Dateien in hunderten von Anwendungen; Patch auf Version 8.1.2 erforderlich.

Eine neu entdeckte Sicherheitslücke (CVE-2026-8461) im weit verbreiteten FFmpeg-Framework ermöglicht es Angreifern, Abstürze auszulösen oder Remote Code Execution zu erreichen. Die Schwachstelle befindet sich im MagicYUV-Decoder und betrifft hunderte von Anwendungen, von Desktop-Playern bis zu Cloud-Transcoding-Services.

JFrog-Forscher haben eine kritische Heap-Overflow-Sicherheitslücke (CVE-2026-8461) im MagicYUV-Decoder des FFmpeg-Frameworks identifiziert. Das Team bezeichnete die Schwachstelle als “PixelSmash”. Sie ermöglicht einen Heap Out-of-Bounds-Write, der jede Anwendung zum Absturz bringen kann, die das Framework nutzt.

FFmpeg ist in einer großen Anzahl von Open-Source- und kommerziellen Anwendungen gebündelt oder verlinkt. Betroffen sind Desktop-Videoplayer wie Kodi und mpv, Dateimanager-Thumbnail-Generatoren auf Linux-Systemen, Cloud-Transcoding-Pipelines (AWS MediaConvert, Cloudflare Stream) sowie selbst gehostete Media-Server wie Jellyfin und Nextcloud. Die Forscher demonstrierten erfolgreiche Remote-Code-Execution-Angriffe auf zwei unabhängige Ziele: einen Jellyfin-Media-Server (mittels automatisiertes Scannen) und eine Nextcloud-Instanz (über den Video-Preview-Provider) – jeweils durch das Hochladen einer präparierten 50-KB-AVI-Datei. Beliebige Media-Container (AVI, MKV, MOV) können zur Exploitation verwendet werden.

Aus CISO-Sicht ist die Lücke problematisch, da FFmpeg eine Grundlagen-Abhängigkeit darstellt, die in hunderten von Downstream-Projekten eingebettet ist. Betroffene Projekte wie GNOME, KDE, XFCE (über ffmpegthumbnailer), Emby, OBS Studio und PhotoPrism haben die Schwachstelle nicht selbst eingeführt, sondern durch die FFmpeg-Abhängigkeit geerbt. Kritisch: Die meisten dieser Projekte haben keinen Mechanismus, um die Schwachstelle eigenständig zu erkennen oder zu verringern. Ein einfaches Einspielen einer präparierten Media-Datei – etwa durch automatische Thumbnail-Generierung in einem Dateimanager – reicht aus, um den Bug auszulösen.

Die Schwachstelle unterstreicht ein strukturelles Problem in der Software-Supply-Chain. Sicherheitsforscher haben bei FFmpeg kürzlich mehrere weitere Probleme gefunden: Google’s Big Sleep Team veröffentlichte 13 Vulnerabilities, Anthropic fand eine 16 Jahre alte Schwachstelle mittels Claude Mythos Preview, SentinelOne beschrieb einen Buffer-Overflow, und ZeroPath meldete sieben Memory-Vulnerabilities.

Abhilfe: FFmpeg sollte auf Version 8.1.2 aktualisiert werden. Als Workaround kann der MagicYUV-Decoder zur Build-Zeit deaktiviert werden, falls er nicht benötigt wird. Experten wie Garrett Calpouzos (Sonatype) gehen davon aus, dass vollständige Exploitation in modernen gehärteten Umgebungen eher selten ist, das realistische Risiko im nahen Zeitrahmen ist jedoch Denial-of-Service bei Services, die Media-Dateien in großem Umfang verarbeiten.


Quelle: www.csoonline.com · Erschienen 24. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.

Share on: