Fehler, Neuigkeiten

Die „PixelSmash“-Sicherheitslücke verwandelt Videodateien in Angriffswerkzeuge

von Pieter Arntz | 24. Juni 2026
PixelSmash
Als bevorzugte Quelle bei Google hinzufügen

Eine kürzlich entdeckte Sicherheitslücke im MagicYUV-Decoder von FFmpeg kann ein winziges, fehlerhaftes Video zu einem Einfallstor für Angreifer machen.

Forscher haben „PixelSmash“ bekannt gegeben, eine kritische Sicherheitslücke ( CVE-2026-8461) im MagicYUV-Videodecoder von FFmpeg mit einem CVSS-Wert von 8,8.

Durch die Erstellung einer speziell formatierten AVI-, MKV- oder MOV-Datei kann ein Angreifer ein System zum Absturz bringen oder möglicherweise Code auf jedem System ausführen, das versucht, ein Vorschaubild zu generieren, Metadaten zu extrahieren oder die Datei mit einer anfälligen Version von FFmpeg abzuspielen.

Was ist FFmpeg und ist das ernst gemeint?

FFmpeg ist ein Open-Source-Toolkit zum Aufzeichnen, Konvertieren und Streamen von Audio- und Videodaten, und seine Bibliothek „libavcodec“ umfasst Hunderte von Audio- und Videodekodern.

Einer davon ist MagicYUV, ein in der Videobearbeitung beliebter verlustfreier Codec. Eine kürzlich entdeckte Sicherheitslücke im MagicYUV-Decoder von FFmpeg kann ein winziges, fehlerhaftes Video zu einem Einfallstor für Angreifer machen.

Forscher haben „PixelSmash“ bekannt gegeben, eine kritische Sicherheitslücke ( CVE-2026-8461) im MagicYUV-Videodecoder von FFmpeg mit einem CVSS-Wert von 8,8.

Durch die Erstellung einer speziell formatierten AVI-, MKV- oder MOV-Datei kann ein Angreifer ein System zum Absturz bringen oder möglicherweise Code auf jedem System ausführen, das versucht, ein Vorschaubild zu generieren, Metadaten zu extrahieren oder die Datei mit einer anfälligen Version von FFmpeg abzuspielen.

Was ist FFmpeg und ist das ernst gemeint?

FFmpeg ist ein Open-Source-Toolkit zum Aufzeichnen, Konvertieren und Streamen von Audio- und Videodaten, und seine Bibliothek „libavcodec“ umfasst Hunderte von Audio- und Videodekodern.

Einer davon ist MagicYUV, ein in der Videobearbeitung beliebter verlustfreier Codec. Die Forscher stellten fest, dass er im Upstream-FFmpeg und in jedem von ihnen getesteten Linux-Distributionspaket bis einschließlich FFmpeg 9.0 standardmäßig aktiviert war.

Die Auswirkungen sind gravierender, als Sie vielleicht denken. Wenn Sie irgendetwas betreiben, das mit Videos zu tun hat – vom Linux-Desktop über einen Jellyfin- oder Nextcloud-Server bis hin zu einem KI-Modell, das Videoclips verarbeitet –, dann nutzen Sie wahrscheinlich im Hintergrund FFmpeg.

Es ist schwer, die genaue Anzahl der betroffenen Systeme zu beziffern, aber es ist hilfreich zu wissen, dass:

  • Dutzende Millionen Linux-Systeme basieren auf ffmpegthumbnailer und System libavcodec Bei Miniaturansichten kann bereits das „bloße Durchsuchen eines Ordners“ den Fehler auslösen, wenn sich darin eine schädliche Datei befindet.
  • Jellyfin und Nextcloud, die weltweit zu den beliebtesten selbst gehosteten Medien- und Dateiplattformen zählen, verfügen jeweils über mindestens Zehntausende aktiver, über das Internet erreichbarer Server. Fast alle Server, auf denen FFmpeg nicht aktualisiert oder MagicYUV nicht deaktiviert wurde, sind anfällig für Denial-of-Service-Angriffe (DoS) und – in bestimmten Konfigurationen – für gezielte Angriffe zur Ausführung von Remote-Code (RCE).
  • Ein großer Teil der NAS-Geräte (Network Attached Storage) für Privatanwender und der Smart-TV-Plattformen nutzt FFmpeg für Vorschauen und Miniaturansichten. Diese Geräte werden millionenfach verkauft.

Das Beunruhigendste an PixelSmash ist, wie wenig es braucht, um den Angriff auszulösen. Man benötigt lediglich eine Anwendung, die FFmpeg zur Verarbeitung nicht vertrauenswürdiger Medien nutzt und in die der MagicYUV-Decoder integriert ist.

PixelSmash ist ein gutes Beispiel für ein allgemeineres Problem im Open-Source-Ökosystem: einen Fehler in einer tiefgreifenden Abhängigkeit, der sich unbemerkt überall ausbreitet.

Wie Sie sich schützen können

Diese Sicherheitslücke ist für die meisten Privatanwender kein Grund zur Sorge. Sie muss auf der obersten Ebene behoben werden. Nutzer betroffener Linux-Distributionen sollten auf FFmpeg-Updates oder Sicherheitsupdates ihrer Distribution achten.

Wenn Sie jedoch für Systeme verantwortlich sind, die mit Videos arbeiten, sollten Sie davon ausgehen, dass Sie betroffen sind, bis Sie das Gegenteil nachweisen können. Die wichtigsten Maßnahmen zur Risikominderung sind:

  • Aktualisieren Sie FFmpeg. Die am 17. Juni 2026 veröffentlichte FFmpeg- Version 8.1.2 enthält eine Korrektur für CVE-2026-8461. Falls Ihre Distribution oder Ihr Anbieter eine aktualisierte FFmpeg-Version bereitstellt, installieren Sie diese auf allen Desktops, Servern und Containern.
  • Überprüfen Sie, ob MagicYUV aktiviert ist, und deaktivieren Sie es oder wenden Sie, sofern möglich, Patches an.
  • Reduzieren Sie die automatische Verarbeitung von nicht vertrauenswürdigen Videos. Überprüfen Sie, welche Vorschau-Anbieter und Thumbnailer aktiviert sind, insbesondere für selten verwendete Formate.

Schließlich lohnt es sich, auf ungewöhnliche Abstürze von Mediaplayern, Thumbnail-Generatoren oder Medienservern zu achten, insbesondere nach dem Öffnen oder Herunterladen einer neuen Videodatei. Wiederholte Abstürze oder fehlende Miniaturansichten sollten Sie als mögliche Anzeichen für schädliche Inhalte betrachten, bis die Systeme gepatcht sind.

Wir berichten nicht nur über Bedrohungen - wir beseitigen sie

Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.

Die Auswirkungen sind gravierender, als Sie vielleicht denken. Wenn Sie irgendetwas betreiben, das mit Videos zu tun hat – vom Linux-Desktop über einen Jellyfin- oder Nextcloud-Server bis hin zu einem KI-Modell, das Videoclips verarbeitet –, dann nutzen Sie wahrscheinlich im Hintergrund FFmpeg.

Es ist schwer, die genaue Anzahl der betroffenen Systeme zu beziffern, aber es ist hilfreich zu wissen, dass:

  • Dutzende Millionen Linux-Systeme basieren auf ffmpegthumbnailer und System libavcodec Bei Miniaturansichten kann bereits das „bloße Durchsuchen eines Ordners“ den Fehler auslösen, wenn sich darin eine schädliche Datei befindet.
  • Jellyfin und Nextcloud, die weltweit zu den beliebtesten selbst gehosteten Medien- und Dateiplattformen zählen, verfügen jeweils über mindestens Zehntausende aktiver, über das Internet erreichbarer Server. Fast alle Server, auf denen FFmpeg nicht aktualisiert oder MagicYUV nicht deaktiviert wurde, sind anfällig für Denial-of-Service-Angriffe (DoS) und – in bestimmten Konfigurationen – für gezielte Angriffe zur Ausführung von Remote-Code (RCE).
  • Ein großer Teil der NAS-Geräte (Network Attached Storage) für Privatanwender und der Smart-TV-Plattformen nutzt FFmpeg für Vorschauen und Miniaturansichten. Diese Geräte werden millionenfach verkauft.

Das Beunruhigendste an PixelSmash ist, wie wenig es braucht, um den Angriff auszulösen. Man benötigt lediglich eine Anwendung, die FFmpeg zur Verarbeitung nicht vertrauenswürdiger Medien nutzt und in die der MagicYUV-Decoder integriert ist.

PixelSmash ist ein gutes Beispiel für ein allgemeineres Problem im Open-Source-Ökosystem: einen Fehler in einer tiefgreifenden Abhängigkeit, der sich unbemerkt überall ausbreitet.

Wie Sie sich schützen können

Diese Sicherheitslücke ist für die meisten Privatanwender kein Grund zur Sorge. Sie muss auf der obersten Ebene behoben werden. Nutzer betroffener Linux-Distributionen sollten auf FFmpeg-Updates oder Sicherheitsupdates ihrer Distribution achten.

Wenn Sie jedoch für Systeme verantwortlich sind, die mit Videos arbeiten, sollten Sie davon ausgehen, dass Sie betroffen sind, bis Sie das Gegenteil nachweisen können. Die wichtigsten Maßnahmen zur Risikominderung sind:

  • Aktualisieren Sie FFmpeg. Die am 17. Juni 2026 veröffentlichte FFmpeg- Version 8.1.2 enthält eine Korrektur für CVE-2026-8461. Falls Ihre Distribution oder Ihr Anbieter eine aktualisierte FFmpeg-Version bereitstellt, installieren Sie diese auf allen Desktops, Servern und Containern.
  • Überprüfen Sie, ob MagicYUV aktiviert ist, und deaktivieren Sie es oder wenden Sie, sofern möglich, Patches an.
  • Reduzieren Sie die automatische Verarbeitung von nicht vertrauenswürdigen Videos. Überprüfen Sie, welche Vorschau-Anbieter und Thumbnailer aktiviert sind, insbesondere für selten verwendete Formate.

Schließlich lohnt es sich, auf ungewöhnliche Abstürze von Mediaplayern, Thumbnail-Generatoren oder Medienservern zu achten, insbesondere nach dem Öffnen oder Herunterladen einer neuen Videodatei. Wiederholte Abstürze oder fehlende Miniaturansichten sollten Sie als mögliche Anzeichen für schädliche Inhalte betrachten, bis die Systeme gepatcht sind.

Wir berichten nicht nur über Bedrohungen - wir beseitigen sie

Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.

Über den Autor

Pieter Arntz

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.

NEUESTE ARTIKEL

Produkt
Ein Wolf im Schafspelz

Hüten Sie sich vor Verlängerungsbetrug, bei dem sich die Betrüger als Malwarebytes ausgeben

Juni 24, 2026

Betrüger versenden gefälschte Benachrichtigungen zur Software-Verlängerung, in denen behauptet wird, dass Ihnen ein Abonnement in Rechnung gestellt wurde. Einige geben sich sogar als Malwarebytes aus.

Betrug
Ein junger Mann setzte sich mit dem Kopf in der einen und einem Telefon in der anderen Hand.

Total auf alle Ihre Geräte.“ Sextortion-Betrüger schlagen erneut zu

Juni 24, 2026

Sie behaupten, sie hätten Videos, Malware und die vollständige Kontrolle über Ihre Geräte. Hier erfahren Sie, wie Sie eine Sextortion-E-Mail wie ein Sicherheitsforscher statt wie ein Opfer lesen können.

Nachrichten
Meta-Logo

Meta setzt umstrittenes Programm zur Mitarbeiterüberwachung nach einer Sicherheitsüberprüfung aus

Juni 23, 2026

Meta hat sein umstrittenes Programm zur Überwachung von Mitarbeitern vorübergehend ausgesetzt. Leider war es nicht die Privatsphäre der Mitarbeiter, die dazu geführt hat.

Als bevorzugte Quelle bei Google hinzufügen

Verwandte Artikel

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug