FFmpeg PixelSmash: Kritische Sicherheitslücke in weit verbreitetem Video-Decoder

Was ist PixelSmash (CVE-2026-8461)?

Sicherheitsforscher von JFrog haben eine kritische Sicherheitslücke in FFmpeg entdeckt, die den Namen PixelSmash erhalten hat. Die Schwachstelle mit der CVE-Nummer CVE-2026-8461 ist ein Heap-basierter Out-of-Bounds-Write im MagicYUV-Decoder von FFmpeg. Sie erhielt einen CVSS-Score von 8,8 (hoch) und kann über manipulierte Videodateien in den Formaten AVI, MKV oder MOV ausgenutzt werden.

FFmpeg ist eine der am weitesten verbreiteten Multimedia-Bibliotheken der Welt und wird von tausenden Anwendungen genutzt – von Media-Servern über Video-Editoren bis hin zu Messaging-Diensten.

Welche Anwendungen sind betroffen?

Jede Anwendung, die libavcodec (FFmpegs Kernbibliothek für Video-Decodierung) verwendet, ist potenziell verwundbar. JFrog hat folgende Anwendungen als verwundbar identifiziert:

Wie funktioniert der Angriff?

Die Schwachstelle liegt in der Art und Weise, wie MagicYUV Slices (unabhängige Regionen eines Videoframes) verarbeitet. Laut JFrog entsteht der Fehler durch eine Inkonsistenz zwischen dem Frame-Allokator und dem Decoder bei der Berechnung der Chroma-Plane-Höhen.

Der Angriff kann auf verschiedenen Wegen erfolgen:

1. Manuelles Öffnen – Ein Benutzer öffnet eine manipulierte AVI-, MKV- oder MOV-Datei
2. Thumbnail-Generierung – Das Durchsuchen eines Verzeichnisses mit der manipulierten Datei löst die Thumbnail-Erstellung aus
3. Automatisierte Media-Workflows – Media-Server wie Jellyfin scannen automatisch neue Dateien im Medienordner
4. Torrent-Downloads – Ein Angreifer seedet eine manipulierte Videodatei, die beim Download automatisch gescannt wird

RCE auf Jellyfin-Servern

JFrog-Forscher Yuval Moravchick demonstrierte, dass PixelSmash für Remote-Code-Ausführung auf Jellyfin-Servern genutzt werden kann. Der Angriffspfad sieht wie folgt aus:

1. Ein Angreifer lädt eine präparierte MagicYUV-AVI-Datei in die Medienbibliothek hoch
2. Jellyfin löst automatisch ffprobe zur Metadaten-Extraktion aus
3. Der Out-of-Bounds-Write wird ausgelöst
4. AVBuffer.free wird auf system() umgeleitet
5. Ein beliebiger Befehl wird als jellyfin-Service-User ausgeführt

Einschränkung: Der RCE-Exploit erfordert, dass ASLR (Address Space Layout Randomization) deaktiviert ist. CVE-2026-8461 allein umgeht diesen Speicherschutz nicht. Theoretisch könnte eine separate Information-Disclosure-Lücke im FlashSV-Decoder von FFmpeg mit PixelSmash kombiniert werden, um ASLR zu umgehen.

Was müssen Admins jetzt tun?

1. FFmpeg aktualisieren – Installieren Sie die neueste FFmpeg-Version (ab 7.1.1 oder 6.1.3, je nach Distribution)
2. Jellyfin aktualisieren – Prüfen Sie, ob Ihr Jellyfin-Server die aktuellste Version nutzt
3. Plex prüfen – Plex verwendet ein eigenes FFmpeg-Build mit deaktivierten Decodern, ist aber trotzdem auf dem neuesten Stand zu halten
4. Nextcloud Movie Preview deaktivieren – Wenn Sie Nextcloud mit aktivierter Video-Vorschau betreiben, deaktivieren Sie diese temporär oder aktualisieren Sie FFmpeg
5. Thumbnail-Generierung überwachen – Prüfen Sie, welche Desktop-Umgebungen (GNOME, KDE, XFCE) FFmpeg für Thumbnails nutzen
6. ASLR aktiviert lassen – Stellen Sie sicher, dass ASLR auf allen Systemen aktiviert ist (Standard unter Linux und Windows)

Passende Anleitungen auf S-EDV

1. Jellyfin auf Synology mit Hardware-Transcoding einrichten
2. Docker-Container-Updates mit Watchtower, Diun und WUD
3. Linux-Server härten nach CIS-Benchmark

Quellen

1. BleepingComputer: FFmpeg fixes PixelSmash flaw in widely used video decoder
2. JFrog: PixelSmash – CVE-2026-8461 Analysis
3. FFmpeg Security