Krytyczna luka w FFmpeg. Wystarczy plik wideo, by stracić kontrolę nad komputerem

Eksperci ds. cyberbezpieczeństwa alarmują: jedna z najważniejszych bibliotek multimedialnych na świecie zawiera krytyczną lukę, która może doprowadzić do całkowitego przejęcia systemu. Problem dotyczy FFmpeg – oprogramowania wykorzystywanego przez tysiące aplikacji, serwerów i urządzeń elektronicznych. W niektórych scenariuszach użytkownik nie musi nawet uruchamiać złośliwego pliku. Samo zapisanie filmu na dysku może wystarczyć do rozpoczęcia ataku.

Twórcy FFmpeg opublikowali pilną aktualizację oznaczoną numerem 8.1.2, która eliminuje krytyczną lukę bezpieczeństwa zarejestrowaną jako CVE-2026-8461. Błąd otrzymał ocenę 8,8 w dziesięciostopniowej skali CVSS. Lukę odkryli badacze z firmy JFrog. Ich analiza pokazuje, że odpowiednio przygotowany plik multimedialny może doprowadzić do zdalnego wykonania dowolnego kodu. W praktyce oznacza to możliwość przejęcia kontroli nad komputerem, serwerem lub urządzeniem multimedialnym.

Skala zagrożenia jest ogromna. FFmpeg stanowi fundament działania niezliczonej liczby programów odpowiedzialnych za odtwarzanie, konwersję i przetwarzanie materiałów audio oraz wideo. Biblioteka jest obecna w popularnych odtwarzaczach, platformach streamingowych, serwerach NAS, telewizorach Smart TV, kamerach monitoringu oraz wielu usługach chmurowych.

Nie musisz nawet otwierać filmu

Najbardziej niepokojące są scenariusze ataku niewymagające żadnej interakcji ze strony użytkownika.

Badacze ostrzegają, że złośliwy plik może zostać automatycznie przetworzony przez serwer multimedialny, menedżer plików lub system generowania miniatur. W takim przypadku użytkownik nie musi uruchamiać filmu ani klikać w podejrzany załącznik.

Wystarczy, że materiał znajdzie się na dysku komputera. Podczas wyświetlania folderu system operacyjny może samodzielnie wygenerować podgląd wideo, uruchamiając proces dekodowania. To właśnie wtedy dochodzi do wykorzystania luki.

Zagrożenie dotyczy między innymi środowisk wykorzystujących Kodi, Jellyfin, Emby, Nextcloud, Immich czy popularne generatory miniaturek stosowane w systemach Linux. Eksperci potwierdzili również możliwość wywoływania awarii w takich aplikacjach jak OBS Studio, mpv oraz ffmpegthumbnailer.

„Potwierdziliśmy awarie aplikacji Kodi, mpv, ffmpegthumbnailer (używanej przez GNOME, KDE, XFCE), Jellyfin, Emby, Nextcloud, Immich, PhotoPrism i OBS Studio oraz innych, a także zademonstrowaliśmy możliwość zdalnego wykonania kodu w Jellyfin” – wyjaśnia Yuval Moravchick, kierownik zespołu ds. badań nad lukami w zabezpieczeniach w JFrog.

Jak działa luka PixelSmash?

Badacze nazwali odkryty problem PixelSmash. Błąd znajduje się w dekoderze kodeka MagicYUV, używanego przede wszystkim podczas profesjonalnej obróbki materiałów wideo.

Problem wynika z nieprawidłowego zarządzania pamięcią podczas dekodowania obrazu. W określonych warunkach FFmpeg przydziela zbyt mały obszar pamięci, a następnie zapisuje dane poza jego granicami. Atakujący może wykorzystać tę sytuację do nadpisania kluczowych struktur programu.

Eksperci z JFrog zademonstrowali, że luka pozwala uruchomić dowolne polecenia systemowe. W przygotowanym scenariuszu badawczym udało się uzyskać pełny dostęp do systemu operacyjnego.

Szczególnie niebezpieczne jest to, że atak może przebiegać całkowicie niezauważenie. Administratorzy często nie otrzymują żadnych komunikatów ostrzegawczych, a ślady włamania pozostają ukryte w logach systemowych.

Zagrożone są także serwery i urządzenia IoT

Atak nie ogranicza się wyłącznie do komputerów osobistych. Cyberprzestępcy mogą wykorzystać lukę przeciwko serwerom multimedialnym, platformom chmurowym oraz urządzeniom Internetu Rzeczy.

Badacze potwierdzili skuteczne przejęcie kontroli nad serwerem Jellyfin podczas standardowego procesu skanowania biblioteki multimediów. Podobny scenariusz udało się odtworzyć w przypadku Nextclouda generującego miniatury przesłanych plików.

Potencjalnie zagrożone pozostają również urządzenia NAS, inteligentne telewizory oraz systemy monitoringu wyposażone w mechanizmy automatycznego przetwarzania materiałów wideo. Eksperci podkreślają, że atakujący może ukryć złośliwy kod w plikach AVI, MKV lub MOV i rozpowszechniać je jako rzekomo popularne filmy, nagrania czy klipy pobierane z internetu.

Co należy zrobić?

Specjaliści ds. bezpieczeństwa zalecają natychmiastową aktualizację FFmpeg do wersji 8.1.2 lub nowszej. W środowiskach, w których kodek MagicYUV nie jest wykorzystywany, rekomendowane jest jego wyłączenie podczas kompilacji oprogramowania.

Ze względu na powszechność FFmpeg użytkownicy mogą nawet nie zdawać sobie sprawy, że korzystają z podatnego oprogramowania. Aktualizacji powinny spodziewać się nie tylko aplikacje desktopowe, ale także serwery multimedialne, systemy NAS oraz usługi działające w chmurze.

Eksperci ostrzegają, że PixelSmash należy do najgroźniejszych luk odkrytych w tym roku. W świecie, w którym praktycznie każda platforma korzysta z materiałów wideo, skutki mogą okazać się wyjątkowo dotkliwe.