Bugs, Actualités

La faille « PixelSmash » transforme les fichiers vidéo en outils d'attaque

par Pieter Arntz | 24 juin 2026
PixelSmash
Ajouter comme source préférée sur Google

Une vulnérabilité récemment découverte dans le décodeur MagicYUV de FFmpeg peut transformer une petite vidéo mal formée en point d'ancrage pour les pirates.

Des chercheurs ont révélé l'existence de « PixelSmash », une vulnérabilité critique référencée sous le numéro CVE-2026-8461, dans le décodeur vidéo MagicYUV de FFmpeg, dont le score CVSS s'élève à 8,8.

En créant un fichier AVI, MKV ou MOV spécialement formaté, un pirate peut provoquer un plantage ou, potentiellement, exécuter du code sur n'importe quel système qui tente de générer une vignette, d'extraire des métadonnées ou de lire le fichier à l'aide d'une version vulnérable de FFmpeg.

Qu'est-ce que FFmpeg ? Est-ce que c'est sérieux ?

FFmpeg est une suite d'outils open source permettant d'enregistrer, de convertir et de diffuser des fichiers audio et vidéo ; sa bibliothèque libavcodec intègre des centaines de décodeurs audio et vidéo.

L'un d'entre eux est MagicYUV, un codec sans perte très utilisé dans le montage vidéo. Une vulnérabilité récemment découverte dans le décodeur MagicYUV de FFmpeg peut transformer une minuscule vidéo mal formée en point d'ancrage pour les pirates.

Des chercheurs ont révélé l'existence de « PixelSmash », une vulnérabilité critique référencée sous le numéro CVE-2026-8461, dans le décodeur vidéo MagicYUV de FFmpeg, dont le score CVSS s'élève à 8,8.

En créant un fichier AVI, MKV ou MOV spécialement formaté, un pirate peut provoquer un plantage ou, potentiellement, exécuter du code sur tout système qui tente de générer une vignette, d'extraire des métadonnées ou de lire ce fichier à l'aide d'une version vulnérable de FFmpeg.

Qu'est-ce que FFmpeg ? Est-ce que c'est sérieux ?

FFmpeg est une suite d'outils open source permettant d'enregistrer, de convertir et de diffuser des fichiers audio et vidéo ; sa bibliothèque libavcodec intègre des centaines de décodeurs audio et vidéo.

L'un d'entre eux est MagicYUV, un codec sans perte très utilisé dans le montage vidéo. Les chercheurs ont constaté qu'il était activé par défaut dans la version source de FFmpeg et dans tous les paquets de distribution Linux qu'ils ont testés, jusqu'à la version 9.0 de FFmpeg.

Les répercussions sont plus importantes que vous ne le pensez. Si vous utilisez un système en rapport avec la vidéo — qu'il s'agisse d'un bureau Linux, d'un serveur Jellyfin ou Nextcloud, voire d'un modèle d'IA qui traite des clips —, vous vous appuyez probablement sur FFmpeg en arrière-plan.

Il est difficile de chiffrer avec précision le nombre de systèmes concernés, mais il est utile de savoir que :

  • Des dizaines de millions de systèmes Linux s'appuient sur ffmpegthumbnailer et système libavcodec pour les vignettes : le simple fait de « parcourir un dossier » peut déclencher le bug si un fichier malveillant s'y trouve.
  • Jellyfin et Nextcloud, qui comptent parmi les plateformes multimédia et de gestion de fichiers auto-hébergées les plus populaires au monde, disposent chacune d’au moins plusieurs dizaines de milliers de serveurs actifs accessibles depuis Internet. La quasi-totalité de ceux qui n’ont pas mis à jour FFmpeg ou désactivé MagicYUV sont vulnérables à des attaques par déni de service (DoS) et, dans certaines configurations, à des attaques ciblées d’exécution de code à distance (RCE).
  • Une grande partie des systèmes de stockage en réseau (NAS) grand public et des plateformes de téléviseurs connectés utilisent FFmpeg pour les aperçus et les vignettes. Ces appareils se vendent par millions.

Ce qui est le plus inquiétant avec PixelSmash, c'est qu'il suffit de très peu pour le déclencher. Il suffit d'une application qui utilise FFmpeg pour traiter des fichiers multimédias non fiables et dans laquelle le décodeur MagicYUV est intégré.

PixelSmash illustre bien un problème plus général au sein de l'écosystème open source : un bug présent dans une dépendance profonde qui se propage silencieusement partout.

Comment se protéger

Cette vulnérabilité ne devrait pas inquiéter la plupart des particuliers. Elle doit être traitée en amont. Les utilisateurs des distributions Linux concernées sont invités à rester attentifs aux mises à jour de FFmpeg ou aux mises à jour de sécurité proposées par leur distribution.

Mais si vous êtes responsable de systèmes traitant des données vidéo, vous devez partir du principe que vous êtes concerné jusqu’à preuve du contraire. Les principales mesures d’atténuation sont les suivantes :

  • Mettez à jour FFmpeg. La version 8.1.2 de FFmpeg , publiée le 17 juin 2026, corrige la vulnérabilité CVE-2026-8461. Si votre distribution ou votre fournisseur propose une version mise à jour de FFmpeg, installez-la sur tous vos ordinateurs de bureau, serveurs et conteneurs.
  • Vérifiez si MagicYUV est activé et désactivez-le ou appliquez les correctifs si possible.
  • Limitez le traitement automatique des vidéos non fiables. Vérifiez quels fournisseurs de prévisualisation et quels générateurs de vignettes sont activés, en particulier pour les formats rarement utilisés.

Enfin, il convient de rester vigilant face à des plantages inhabituels des lecteurs multimédias, des logiciels de création de vignettes ou des serveurs multimédias, en particulier après l'ouverture ou le téléchargement d'un nouveau fichier vidéo. Vous devez considérer les plantages répétés ou l'absence de vignettes comme des indicateurs potentiels de contenu malveillant jusqu'à ce que les systèmes aient été mis à jour.

Nous ne nous contentons pas de signaler les menaces, nous les éliminons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.

Les répercussions sont plus importantes que vous ne le pensez. Si vous utilisez un système en rapport avec la vidéo — qu'il s'agisse d'un bureau Linux, d'un serveur Jellyfin ou Nextcloud, voire d'un modèle d'IA qui traite des clips —, vous vous appuyez probablement sur FFmpeg en arrière-plan.

Il est difficile de chiffrer avec précision le nombre de systèmes concernés, mais il est utile de savoir que :

  • Des dizaines de millions de systèmes Linux s'appuient sur ffmpegthumbnailer et système libavcodec pour les vignettes : le simple fait de « parcourir un dossier » peut déclencher le bug si un fichier malveillant s'y trouve.
  • Jellyfin et Nextcloud, qui comptent parmi les plateformes multimédia et de gestion de fichiers auto-hébergées les plus populaires au monde, disposent chacune d’au moins plusieurs dizaines de milliers de serveurs actifs accessibles depuis Internet. La quasi-totalité de ceux qui n’ont pas mis à jour FFmpeg ou désactivé MagicYUV sont vulnérables à des attaques par déni de service (DoS) et, dans certaines configurations, à des attaques ciblées d’exécution de code à distance (RCE).
  • Une grande partie des systèmes de stockage en réseau (NAS) grand public et des plateformes de téléviseurs connectés utilisent FFmpeg pour les aperçus et les vignettes. Ces appareils se vendent par millions.

Ce qui est le plus inquiétant avec PixelSmash, c'est qu'il suffit de très peu pour le déclencher. Il suffit d'une application qui utilise FFmpeg pour traiter des fichiers multimédias non fiables et dans laquelle le décodeur MagicYUV est intégré.

PixelSmash illustre bien un problème plus général au sein de l'écosystème open source : un bug présent dans une dépendance profonde qui se propage silencieusement partout.

Comment se protéger

Cette vulnérabilité ne devrait pas inquiéter la plupart des particuliers. Elle doit être traitée en amont. Les utilisateurs des distributions Linux concernées sont invités à rester attentifs aux mises à jour de FFmpeg ou aux mises à jour de sécurité proposées par leur distribution.

Mais si vous êtes responsable de systèmes traitant des données vidéo, vous devez partir du principe que vous êtes concerné jusqu’à preuve du contraire. Les principales mesures d’atténuation sont les suivantes :

  • Mettez à jour FFmpeg. La version 8.1.2 de FFmpeg , publiée le 17 juin 2026, corrige la vulnérabilité CVE-2026-8461. Si votre distribution ou votre fournisseur propose une version mise à jour de FFmpeg, installez-la sur tous vos ordinateurs de bureau, serveurs et conteneurs.
  • Vérifiez si MagicYUV est activé et désactivez-le ou appliquez les correctifs si possible.
  • Limitez le traitement automatique des vidéos non fiables. Vérifiez quels fournisseurs de prévisualisation et quels générateurs de vignettes sont activés, en particulier pour les formats rarement utilisés.

Enfin, il convient de rester vigilant face à des plantages inhabituels des lecteurs multimédias, des logiciels de création de vignettes ou des serveurs multimédias, en particulier après l'ouverture ou le téléchargement d'un nouveau fichier vidéo. Vous devez considérer les plantages répétés ou l'absence de vignettes comme des indicateurs potentiels de contenu malveillant jusqu'à ce que les systèmes aient été mis à jour.

Nous ne nous contentons pas de signaler les menaces, nous les éliminons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Produit
Un loup déguisé en agneau

Méfiez-vous des escroqueries liées au renouvellement qui se font passer pour Malwarebytes

Juin 24, 2026

Des escrocs envoient de faux avis de renouvellement de logiciel, prétendant que vous avez été facturé pour un abonnement. Certains vont même jusqu'à se faire passer pour Malwarebytes.

Escroqueries
Un jeune homme s'est assis, la tête dans une main et tenant un téléphone dans l'autre.

« UnTotal à tous vos appareils. » Les escrocs spécialisés dans le chantage sexuel frappent à nouveau

Juin 24, 2026

Ils prétendent détenir des vidéos, des logiciels malveillants et avoir le contrôle total de vos appareils. Voici comment analyser un e-mail de chantage sexuel avec l'œil d'un chercheur en sécurité plutôt que celui d'une victime.

Actualités
Méta logo

Meta suspend son programme controversé de suivi des employés à la suite d'un audit de sécurité

Juin 23, 2026

Meta a suspendu son programme controversé de suivi des employés. Malheureusement, ce n'est pas la protection de la vie privée des employés qui a motivé cette décision.

Ajouter comme source préférée sur Google

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries