CVE-2026-8461 "PixelSmash": Kritische FFmpeg-MagicYUV-Sicherheitslücke ermöglicht RCE ohne Benutzerinteraktion — jetzt auf 8.1.2 patchen

Sicherheitsfirma JFrog hat eine kritische Heap-Out-of-Bounds-Schreibschwachstelle in FFmpegs MagicYUV-Lossless-Video-Codec-Decoder offengelegt, die als CVE-2026-8461 mit einem CVSS-Score von 8,8 geführt wird. FFmpeg hat Version 8.1.2 mit einem Patch veröffentlicht; als Workaround kann der MagicYUV-Decoder zur Build-Zeit deaktiviert werden. Die Ursache ist eine Rundungsabweichung: Bei der Verarbeitung von Videoframes mit ungeraden Slice-Höhen allokiert der Decoder einen kleineren Puffer, als er beschreibt, wodurch er bis zu 640 Byte pro Zeile in FFmpegs eigene AVBuffer-Struktur überläuft – eine Datenstruktur, die einen Bereinigungsfunktionszeiger enthält. Angreifer überschreiben diesen Zeiger, um die Ausführung umzuleiten und erreichen so vollständige Codeausführung ohne Authentifizierung oder erhöhte Privilegien. JFrog demonstrierte den Exploit, indem es über die normale Bibliotheksscan-Pipeline eine Shell auf einem Jellyfin-10.11.9-Mediaserver spawnete und erzielte ebenfalls eine Kompromittierung über das Vorschaubild-Generator-Plugin von Nextcloud.

Die Schadwirkung der Schwachstelle ist außergewöhnlich. FFmpegs libavcodec wird als transitive Abhängigkeit in praktisch jeder Anwendung ausgeliefert, die Video verarbeitet, und der MagicYUV-Decoder ist in allen Upstream-Builds standardmäßig aktiviert. Bestätigte Crash-Ziele sind Kodi, mpv, ffmpegthumbnailer (verwendet von GNOME, KDE und XFCE), Emby, Immich, PhotoPrism und OBS Studio; vollständiger RCE wurde gegen Jellyfin und Nextcloud demonstriert. Auf Desktops reicht bereits das Durchsuchen eines Ordners, der eine schädliche Videodatei enthält – der Thumbnail-Generator des Dateimanagers löst den Fehler aus, ohne dass die Datei jemals geöffnet wird. Auf Servern löst das Hochladen einer manipulierten AVI-, MKV- oder MOV-Datei auf eine Media-Plattform oder einen Cloud-Transcoding-Dienst die automatische Verarbeitung aus. JFrog merkt an, dass der Exploit völlig geräuschlos ist: Es wird kein Fehler angezeigt, und der resultierende Absturz wird in serverseitigen Logs vergraben, die typischerweise nicht überwacht werden. Die Schwachstelle erstreckt sich auch auf KI-Frameworks und GPU-beschleunigte Datenpipelines, die FFmpeg zur Medienaufnahme verwenden.

Cybernews | JFrog