🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma falha FFmpeg recentemente divulgada, chamada de 'PixelSmash' pode ser explorada para execução remota de código em servidores Jellyfin sob certas condições e também pode desencadear uma condição de negação de serviço em aplicativos como Kodi, Emby, Nextcloud, PhotoPrism e OBS Studio.
A vulnerabilidade é rastreada como CVE-2026-8461 e é uma gravação fora dos limites no decodificador MagicYUV. Ele recebeu uma pontuação de alta gravidade de 8,8 e pode ser aproveitado por meio de um arquivo de vídeo malicioso nos formatos AVI, MKV ou MOV.
Qualquer aplicativo que use libavcodec, a biblioteca principal do FFmpeg para decodificação e codificação de vídeo, é considerado vulnerável.
No entanto, a exploração para execução remota de código (RCE) é possível se a defesa Address Space Layout Randomization (ASLR) estiver desativada ou encadeando outra vulnerabilidade para anular a proteção.
Causa raiz e impacto
Pesquisadores da empresa de segurança da cadeia de suprimentos de software JFrog dizem que o PixelSmash decorre da maneira como o MagicYUV processa fatias, regiões independentes de um quadro de vídeo que podem ser decodificadas separadamente do resto da imagem.
“A vulnerabilidade é um estouro de buffer de heap de uma linha no tratamento de fatias do decodificador MagicYUV, causado por uma inconsistência entre como o alocador de quadros e o decodificador calculam as alturas do plano de croma”, explica JFrog.
Fonte: JFrog
PixelSmash pode ser acionado quando o usuário abre arquivos de vídeo AVI, MKV ou MOV, navega em um diretório que contém o arquivo (por meio da geração de miniaturas) ou executa qualquer fluxo de trabalho automatizado de ingestão de mídia.
JFrog descobriu que vários aplicativos de mídia populares, como Kodi, OBS Studio, PhotoPrism e geradores de miniaturas GNOME/KDE/XFCE, usam FFmpeg com o decodificador MagicYUV habilitado, tornando-os vulneráveis a ataques PixelSmash.
Slack, Discord, Telegram e WhatsApp também podem ser suscetíveis a ataques PixelSmash, pois usam FFmpeg para gerar visualizações de vídeo no servidor, mas não foram testados.
Fonte: JFrog
O pesquisador principal da JFrog, Yuval Moravchick, demonstrou que PixelSmash pode ser usado para execução remota de código em instâncias Jellyfin e Nextcloud (com visualização de filme habilitada).
“Para demonstrar o impacto no mundo real, alcançamos a execução remota completa de código em um servidor de mídia Jellyfin 10.11.9 – o segundo servidor de mídia auto-hospedado mais popular (depois do Plex) – por meio de seu pipeline normal de varredura de biblioteca de mídia”, diz JFrog.
“Caminho de ataque: um download de um MagicYUV AVI criado na biblioteca de mídia -> Jellyfin aciona automaticamente o ffprobe para extração de metadados -> a gravação OOB é acionada -> AVBuffer.free é sequestrado para system() -> comando arbitrário é executado como o usuário do serviço jellyfin.
No entanto, Moravchick observou que a exploração RCE requer que o ASLR (Address Space Layout Randomization) seja desativado e que o CVE-2026-8461 sozinho não ignora essa proteção de memória.
Em teoria, um bug separado de divulgação de informações no decodificador FlashSV do FFmpeg poderia ser encadeado com PixelSmash para contornar o ASLR.
Outro cenário de ataque ocorre por meio de downloads de torrent e não requer interação do usuário. Os pesquisadores dizem que um invasor pode semear um vídeo malicioso direcionado aos usuários do Jellyfin que apontam o download para a pasta da biblioteca de mídia do aplicativo.
"O monitor do sistema de arquivos em tempo real do Jellyfin detecta o novo arquivo e aciona automaticamente uma verificação de metadados ffprobe. A exploração é acionada durante a verificação - AVBuffer.free é sequestrado para system () e o comando shell reverso do invasor é executado como o usuário do serviço jellyfin"
Mesmo quando o RCE é impedido ou impossível, a vulnerabilidade CVE-2026-8461 deve ser suficiente para atingir de forma confiável uma condição de negação de serviço (DoS) em alvos vulneráveis.
Os pesquisadores descobriram que o Plex, o servidor de mídia extremamente popular, usa uma versão FFmpeg personalizada na qual os decodificadores estão desativados e uma lista de permissões mínima está em vigor, mitigando efetivamente o risco do PixelSmash.
Além do lançamento da versão 8.1.2 do FFmpeg, que corrige a falha, o Jellyfin também atualizou sua versão FFmpeg integrada, e o PhotoPrism está trabalhando para adicionar uma lista de bloqueio de formatos de arquivo para evitar exploração potencial.
A equipe Nextcloud recebeu o relatório via HackerOne, mas se recusou a resolver a falha porque ela existe fora do Nextcloud.
JFrog descobriu o PixelSmash (CVE-2026-8461) e relatou à equipe de segurança do FFmpeg em 13 de maio. O desenvolvedor resolveu o problema na versão 8.1.2, lançada em 17 de junho.
Os pesquisadores alertam que o PixelSmash tem uma enorme superfície de ataque porque o decodificador MagicYUV está presente em centenas de projetos que “confiam no FFmpeg para lidar com informações não confiáveis com segurança”, transformando a vulnerabilidade em um problema na cadeia de suprimentos.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de passar despercebidas
A vulnerabilidade é rastreada como CVE-2026-8461 e é uma gravação fora dos limites no decodificador MagicYUV. Ele recebeu uma pontuação de alta gravidade de 8,8 e pode ser aproveitado por meio de um arquivo de vídeo malicioso nos formatos AVI, MKV ou MOV.
Qualquer aplicativo que use libavcodec, a biblioteca principal do FFmpeg para decodificação e codificação de vídeo, é considerado vulnerável.
No entanto, a exploração para execução remota de código (RCE) é possível se a defesa Address Space Layout Randomization (ASLR) estiver desativada ou encadeando outra vulnerabilidade para anular a proteção.
Causa raiz e impacto
Pesquisadores da empresa de segurança da cadeia de suprimentos de software JFrog dizem que o PixelSmash decorre da maneira como o MagicYUV processa fatias, regiões independentes de um quadro de vídeo que podem ser decodificadas separadamente do resto da imagem.
“A vulnerabilidade é um estouro de buffer de heap de uma linha no tratamento de fatias do decodificador MagicYUV, causado por uma inconsistência entre como o alocador de quadros e o decodificador calculam as alturas do plano de croma”, explica JFrog.
Fonte: JFrog
PixelSmash pode ser acionado quando o usuário abre arquivos de vídeo AVI, MKV ou MOV, navega em um diretório que contém o arquivo (por meio da geração de miniaturas) ou executa qualquer fluxo de trabalho automatizado de ingestão de mídia.
JFrog descobriu que vários aplicativos de mídia populares, como Kodi, OBS Studio, PhotoPrism e geradores de miniaturas GNOME/KDE/XFCE, usam FFmpeg com o decodificador MagicYUV habilitado, tornando-os vulneráveis a ataques PixelSmash.
Slack, Discord, Telegram e WhatsApp também podem ser suscetíveis a ataques PixelSmash, pois usam FFmpeg para gerar visualizações de vídeo no servidor, mas não foram testados.
Fonte: JFrog
O pesquisador principal da JFrog, Yuval Moravchick, demonstrou que PixelSmash pode ser usado para execução remota de código em instâncias Jellyfin e Nextcloud (com visualização de filme habilitada).
“Para demonstrar o impacto no mundo real, alcançamos a execução remota completa de código em um servidor de mídia Jellyfin 10.11.9 – o segundo servidor de mídia auto-hospedado mais popular (depois do Plex) – por meio de seu pipeline normal de varredura de biblioteca de mídia”, diz JFrog.
“Caminho de ataque: um download de um MagicYUV AVI criado na biblioteca de mídia -> Jellyfin aciona automaticamente o ffprobe para extração de metadados -> a gravação OOB é acionada -> AVBuffer.free é sequestrado para system() -> comando arbitrário é executado como o usuário do serviço jellyfin.
No entanto, Moravchick observou que a exploração RCE requer que o ASLR (Address Space Layout Randomization) seja desativado e que o CVE-2026-8461 sozinho não ignora essa proteção de memória.
Em teoria, um bug separado de divulgação de informações no decodificador FlashSV do FFmpeg poderia ser encadeado com PixelSmash para contornar o ASLR.
Outro cenário de ataque ocorre por meio de downloads de torrent e não requer interação do usuário. Os pesquisadores dizem que um invasor pode semear um vídeo malicioso direcionado aos usuários do Jellyfin que apontam o download para a pasta da biblioteca de mídia do aplicativo.
"O monitor do sistema de arquivos em tempo real do Jellyfin detecta o novo arquivo e aciona automaticamente uma verificação de metadados ffprobe. A exploração é acionada durante a verificação - AVBuffer.free é sequestrado para system () e o comando shell reverso do invasor é executado como o usuário do serviço jellyfin"
Mesmo quando o RCE é impedido ou impossível, a vulnerabilidade CVE-2026-8461 deve ser suficiente para atingir de forma confiável uma condição de negação de serviço (DoS) em alvos vulneráveis.
Os pesquisadores descobriram que o Plex, o servidor de mídia extremamente popular, usa uma versão FFmpeg personalizada na qual os decodificadores estão desativados e uma lista de permissões mínima está em vigor, mitigando efetivamente o risco do PixelSmash.
Além do lançamento da versão 8.1.2 do FFmpeg, que corrige a falha, o Jellyfin também atualizou sua versão FFmpeg integrada, e o PhotoPrism está trabalhando para adicionar uma lista de bloqueio de formatos de arquivo para evitar exploração potencial.
A equipe Nextcloud recebeu o relatório via HackerOne, mas se recusou a resolver a falha porque ela existe fora do Nextcloud.
JFrog descobriu o PixelSmash (CVE-2026-8461) e relatou à equipe de segurança do FFmpeg em 13 de maio. O desenvolvedor resolveu o problema na versão 8.1.2, lançada em 17 de junho.
Os pesquisadores alertam que o PixelSmash tem uma enorme superfície de ataque porque o decodificador MagicYUV está presente em centenas de projetos que “confiam no FFmpeg para lidar com informações não confiáveis com segurança”, transformando a vulnerabilidade em um problema na cadeia de suprimentos.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de passar despercebidas
#samirnews #samir #news #boletimtec #ffmpeg #corrige #falha #pixelsmash #em #decodificador #de #vídeo #amplamente #utilizado
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário