PixelSmash: A Vulnerabilidade no FFmpeg que Transforma Downloads de Filmes em Comandos Maliciosos
Uma falha crítica no decodificador MagicYUV do FFmpeg, identificada como PixelSmash (CVE-2026-8461), permite a execução remota de código e negação de serviço através de arquivos de mídia maliciosos. A vulnerabilidade afeta diversos softwares populares, incluindo Jellyfin, Nextcloud e PhotoPrism, e explora a forma como o FFmpeg processa dados de vídeo.
MundiX News·24 de junho de 2026·5 min de leitura·👁 1 views
Você baixa um filme para relaxar, mas seu servidor doméstico já está executando comandos de terceiros. Essa é a realidade assustadora apresentada pela vulnerabilidade PixelSmash no FFmpeg, que demonstra o quão perigoso pode ser o processamento de arquivos de fontes não confiáveis. Mesmo com listas de permissão (whitelists) ativas, a falha pode ser explorada, tornando qualquer usuário um alvo potencial.
A vulnerabilidade, rastreada como CVE-2026-8461 e classificada com uma pontuação CVSS 3.1 de 8.8 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H), reside no decodificador MagicYUV, parte integrante da biblioteca libavcodec do FFmpeg. Arquivos maliciosos nos formatos AVI, MKV e MOV podem ser explorados se a aplicação em questão utilizar o FFmpeg com o decodificador MagicYUV habilitado. A falha ocorre devido a um cálculo incorreto da altura dos dados de cor durante o processamento de partes específicas de um quadro de vídeo. Essa discrepância leva o decodificador e o gerenciador de memória a escrever dados fora da área de memória alocada, abrindo portas para ataques.
O aspecto mais preocupante da PixelSmash é que ela não se limita à abertura direta de um arquivo de vídeo. A exploração pode ocorrer durante processos como a geração de miniaturas, a varredura de bibliotecas de mídia ou o upload automático de arquivos para serviços. Especialistas da JFrog demonstraram um ataque de prova de conceito contra Jellyfin 10.11.9 e Nextcloud com a pré-visualização de filmes ativada. Neste cenário, um arquivo AVI malicioso inserido na biblioteca do Jellyfin acionava o ffprobe para extrair metadados. A falha no FFmpeg permitia então a execução de um comando como o usuário jellyfin. É importante notar que este cenário específico exigia que a ASLR (Address Space Layout Randomization), uma medida de segurança que dificulta a previsão de endereços de memória, estivesse desativada, pois a CVE-2026-8461 por si só não contorna a ASLR.
Mesmo sem a execução direta de código, a vulnerabilidade PixelSmash pode resultar em negação de serviço (Denial of Service - DoS), levando à falha ou travamento da aplicação afetada. Entre os softwares e cenários citados pela JFrog que podem ser impactados estão Kodi, OBS Studio, PhotoPrism, Emby, Nextcloud e geradores de miniaturas de ambientes como GNOME, KDE e XFCE. O Plex, por outro lado, demonstrou maior resiliência, pois utiliza uma compilação customizada do FFmpeg com decodificadores desabilitados e uma lista restrita de componentes permitidos.
O FFmpeg já lançou uma correção para a vulnerabilidade PixelSmash na versão 8.1.2, disponibilizada em 17 de junho. O Jellyfin já atualizou sua versão interna do FFmpeg, e o PhotoPrism está trabalhando em bloqueios para formatos de arquivo perigosos. Para mitigar os riscos, desenvolvedores e administradores de sistemas devem atualizar o FFmpeg e quaisquer aplicações que o incorporem em suas compilações. Recomenda-se também evitar o processamento automático de conteúdo de mídia de fontes não confiáveis e manter a ASLR ativada como uma camada adicional de proteção.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Você baixa um filme para relaxar, mas seu servidor doméstico já está executando comandos de terceiros. Essa é a realidade assustadora apresentada pela vulnerabilidade PixelSmash no FFmpeg, que demonstra o quão perigoso pode ser o processamento de arquivos de fontes não confiáveis. Mesmo com listas de permissão (whitelists) ativas, a falha pode ser explorada, tornando qualquer usuário um alvo potencial.
A vulnerabilidade, rastreada como CVE-2026-8461 e classificada com uma pontuação CVSS 3.1 de 8.8 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H), reside no decodificador MagicYUV, parte integrante da biblioteca libavcodec do FFmpeg. Arquivos maliciosos nos formatos AVI, MKV e MOV podem ser explorados se a aplicação em questão utilizar o FFmpeg com o decodificador MagicYUV habilitado. A falha ocorre devido a um cálculo incorreto da altura dos dados de cor durante o processamento de partes específicas de um quadro de vídeo. Essa discrepância leva o decodificador e o gerenciador de memória a escrever dados fora da área de memória alocada, abrindo portas para ataques.
O aspecto mais preocupante da PixelSmash é que ela não se limita à abertura direta de um arquivo de vídeo. A exploração pode ocorrer durante processos como a geração de miniaturas, a varredura de bibliotecas de mídia ou o upload automático de arquivos para serviços. Especialistas da JFrog demonstraram um ataque de prova de conceito contra Jellyfin 10.11.9 e Nextcloud com a pré-visualização de filmes ativada. Neste cenário, um arquivo AVI malicioso inserido na biblioteca do Jellyfin acionava o ffprobe para extrair metadados. A falha no FFmpeg permitia então a execução de um comando como o usuário jellyfin. É importante notar que este cenário específico exigia que a ASLR (Address Space Layout Randomization), uma medida de segurança que dificulta a previsão de endereços de memória, estivesse desativada, pois a CVE-2026-8461 por si só não contorna a ASLR.
Mesmo sem a execução direta de código, a vulnerabilidade PixelSmash pode resultar em negação de serviço (Denial of Service - DoS), levando à falha ou travamento da aplicação afetada. Entre os softwares e cenários citados pela JFrog que podem ser impactados estão Kodi, OBS Studio, PhotoPrism, Emby, Nextcloud e geradores de miniaturas de ambientes como GNOME, KDE e XFCE. O Plex, por outro lado, demonstrou maior resiliência, pois utiliza uma compilação customizada do FFmpeg com decodificadores desabilitados e uma lista restrita de componentes permitidos.
O FFmpeg já lançou uma correção para a vulnerabilidade PixelSmash na versão 8.1.2, disponibilizada em 17 de junho. O Jellyfin já atualizou sua versão interna do FFmpeg, e o PhotoPrism está trabalhando em bloqueios para formatos de arquivo perigosos. Para mitigar os riscos, desenvolvedores e administradores de sistemas devem atualizar o FFmpeg e quaisquer aplicações que o incorporem em suas compilações. Recomenda-se também evitar o processamento automático de conteúdo de mídia de fontes não confiáveis e manter a ASLR ativada como uma camada adicional de proteção.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
