Bug, Notizie

La vulnerabilità PixelSmash trasforma i file video in strumenti di attacco

di Pieter Arntz | 24 giugno 2026
PixelSmash
Aggiungi come fonte preferita su Google

Una vulnerabilità scoperta di recente nel decodificatore MagicYUV di FFmpeg può trasformare un video di piccole dimensioni e con formato non corretto in un punto d'appoggio per gli hacker.

I ricercatori hanno reso nota PixelSmash, una vulnerabilità critica identificata con il codice CVE-2026-8461, presente nel decodificatore video MagicYUV di FFmpeg, con un punteggio CVSS pari a 8,8.

Creando un file AVI, MKV o MOV appositamente formattato, un malintenzionato può causare il crash o, potenzialmente, eseguire codice su qualsiasi sistema che tenti di generare una miniatura, estrarre metadati o riprodurre il file utilizzando una versione vulnerabile di FFmpeg.

Cos'è FFmpeg? È una cosa seria?

FFmpeg è un toolkit open source per la registrazione, la conversione e lo streaming di audio e video, e la sua libreria libavcodec implementa centinaia di decodificatori audio e video.

Uno di questi è MagicYUV, un codec senza perdita di dati molto diffuso nell’editing video. Una vulnerabilità scoperta di recente nel decodificatore MagicYUV di FFmpeg può trasformare un video di piccole dimensioni e malformato in un punto d’appoggio per gli aggressori.

I ricercatori hanno reso nota PixelSmash, una vulnerabilità critica identificata con il codice CVE-2026-8461, presente nel decodificatore video MagicYUV di FFmpeg, con un punteggio CVSS pari a 8,8.

Creando un file AVI, MKV o MOV appositamente formattato, un malintenzionato può causare il crash o, potenzialmente, eseguire codice su qualsiasi sistema che tenti di generare una miniatura, estrarre metadati o riprodurre il file utilizzando una versione vulnerabile di FFmpeg.

Cos'è FFmpeg? È una cosa seria?

FFmpeg è un toolkit open source per la registrazione, la conversione e lo streaming di audio e video, e la sua libreria libavcodec implementa centinaia di decodificatori audio e video.

Uno di questi è MagicYUV, un codec senza perdita di dati molto diffuso nell'editing video. I ricercatori hanno scoperto che era abilitato di default nella versione upstream di FFmpeg e in tutti i pacchetti delle distribuzioni Linux che hanno testato fino alla versione 9.0 di FFmpeg.

L'impatto è più grave di quanto si possa pensare. Se si utilizza qualsiasi sistema che abbia a che fare con i video — da un desktop Linux a un server Jellyfin o Nextcloud, o persino un modello di intelligenza artificiale che elabora clip — probabilmente si fa affidamento su FFmpeg dietro le quinte.

È difficile quantificare con esattezza il numero di sistemi interessati, ma è utile sapere che:

  • Decine di milioni di sistemi Linux si affidano a ffmpegthumbnailer e sistema libavcodec per le anteprime: il semplice fatto di “sfogliare una cartella” può far scattare il bug se è presente un file dannoso.
  • Jellyfin e Nextcloud, tra le piattaforme self-hosted per file e contenuti multimediali più diffuse a livello globale, dispongono ciascuna di almeno decine di migliaia di server attivi raggiungibili via Internet. Quasi tutti quelli che non hanno aggiornato FFmpeg o disabilitato MagicYUV sono vulnerabili ad attacchi denial of service (DoS) e, in alcune configurazioni, ad attacchi mirati di esecuzione remota di codice (RCE).
  • Una quota consistente delle piattaforme NAS (Network Attached Storage) e delle smart TV destinate al mercato consumer utilizza FFmpeg per le anteprime e le miniature. Questi dispositivi vengono venduti a milioni.

L'aspetto più preoccupante di PixelSmash è quanto poco basti per attivarlo. È sufficiente un'applicazione che utilizzi FFmpeg per elaborare file multimediali non attendibili e che abbia il decodificatore MagicYUV integrato.

PixelSmash è un chiaro esempio di un problema più ampio nell'ecosistema open source: un bug in una dipendenza profonda che si propaga silenziosamente ovunque.

Come proteggersi

Questa vulnerabilità non è un problema di cui la maggior parte degli utenti privati debba preoccuparsi. Deve essere risolta a monte. Gli utenti delle distribuzioni Linux interessate dovrebbero tenere d’occhio gli aggiornamenti di FFmpeg o quelli di sicurezza forniti dalla propria distribuzione.

Ma se sei responsabile di sistemi che gestiscono contenuti video, dovresti partire dal presupposto di essere coinvolto fino a prova contraria. Le principali misure di mitigazione sono:

  • Aggiornare FFmpeg. La versione 8.1.2 di FFmpeg , rilasciata il 17 giugno 2026, include una correzione per la vulnerabilità CVE‑2026‑8461. Se la propria distribuzione o il proprio fornitore mette a disposizione una versione aggiornata di FFmpeg, installarla su desktop, server e container.
  • Verifica se MagicYUV è abilitato e, se del caso, disabilitalo oppure applica le patch, ove possibile.
  • Ridurre l'elaborazione automatica dei video non attendibili. Verificare quali provider di anteprima e generatori di miniature siano abilitati, in particolare per i formati utilizzati raramente.

Infine, è opportuno prestare attenzione a eventuali arresti anomali di lettori multimediali, programmi di generazione di miniature o server multimediali, specialmente dopo l’apertura o il download di un nuovo file video. È opportuno considerare gli arresti anomali ripetuti o la mancanza di miniature come potenziali indicatori di contenuti dannosi fino a quando i sistemi non saranno aggiornati con le patch.

Non ci limitiamo a segnalare le minacce, ma le eliminiamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.

L'impatto è più grave di quanto si possa pensare. Se si utilizza qualsiasi sistema che abbia a che fare con i video — da un desktop Linux a un server Jellyfin o Nextcloud, o persino un modello di intelligenza artificiale che elabora clip — probabilmente si fa affidamento su FFmpeg dietro le quinte.

È difficile quantificare con esattezza il numero di sistemi interessati, ma è utile sapere che:

  • Decine di milioni di sistemi Linux si affidano a ffmpegthumbnailer e sistema libavcodec per le anteprime: il semplice fatto di “sfogliare una cartella” può far scattare il bug se è presente un file dannoso.
  • Jellyfin e Nextcloud, tra le piattaforme self-hosted per file e contenuti multimediali più diffuse a livello globale, dispongono ciascuna di almeno decine di migliaia di server attivi raggiungibili via Internet. Quasi tutti quelli che non hanno aggiornato FFmpeg o disabilitato MagicYUV sono vulnerabili ad attacchi denial of service (DoS) e, in alcune configurazioni, ad attacchi mirati di esecuzione remota di codice (RCE).
  • Una quota consistente delle piattaforme NAS (Network Attached Storage) e delle smart TV destinate al mercato consumer utilizza FFmpeg per le anteprime e le miniature. Questi dispositivi vengono venduti a milioni.

L'aspetto più preoccupante di PixelSmash è quanto poco basti per attivarlo. È sufficiente un'applicazione che utilizzi FFmpeg per elaborare file multimediali non attendibili e che abbia il decodificatore MagicYUV integrato.

PixelSmash è un chiaro esempio di un problema più ampio nell'ecosistema open source: un bug in una dipendenza profonda che si propaga silenziosamente ovunque.

Come proteggersi

Questa vulnerabilità non è un problema di cui la maggior parte degli utenti privati debba preoccuparsi. Deve essere risolta a monte. Gli utenti delle distribuzioni Linux interessate dovrebbero tenere d’occhio gli aggiornamenti di FFmpeg o quelli di sicurezza forniti dalla propria distribuzione.

Ma se sei responsabile di sistemi che gestiscono contenuti video, dovresti partire dal presupposto di essere coinvolto fino a prova contraria. Le principali misure di mitigazione sono:

  • Aggiornare FFmpeg. La versione 8.1.2 di FFmpeg , rilasciata il 17 giugno 2026, include una correzione per la vulnerabilità CVE‑2026‑8461. Se la propria distribuzione o il proprio fornitore mette a disposizione una versione aggiornata di FFmpeg, installarla su desktop, server e container.
  • Verifica se MagicYUV è abilitato e, se del caso, disabilitalo oppure applica le patch, ove possibile.
  • Ridurre l'elaborazione automatica dei video non attendibili. Verificare quali provider di anteprima e generatori di miniature siano abilitati, in particolare per i formati utilizzati raramente.

Infine, è opportuno prestare attenzione a eventuali arresti anomali di lettori multimediali, programmi di generazione di miniature o server multimediali, specialmente dopo l’apertura o il download di un nuovo file video. È opportuno considerare gli arresti anomali ripetuti o la mancanza di miniature come potenziali indicatori di contenuti dannosi fino a quando i sistemi non saranno aggiornati con le patch.

Non ci limitiamo a segnalare le minacce, ma le eliminiamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Prodotto
Un lupo travestito da agnello

Attenzione alle truffe sui rinnovi che si spacciano per Malwarebytes

Giugno 24, 2026

I truffatori stanno inviando false notifiche di rinnovo del software in cui si sostiene che ti sia stato addebitato il costo di un abbonamento. Alcuni si spacciano addirittura per Malwarebytes.

Truffe
Un giovane si è seduto con la testa in una mano e il telefono nell'altra.

Total a tutti i tuoi dispositivi.” I truffatori specializzati in sextortion colpiscono ancora

Giugno 24, 2026

Dicono di avere video, malware e il controllo totale dei tuoi dispositivi. Ecco come leggere un’e-mail di sextortion con l’occhio di un ricercatore di sicurezza anziché con quello di una vittima.

Notizie
Logo Meta

Meta sospende il controverso programma di monitoraggio dei dipendenti a seguito di una verifica della sicurezza

Giugno 23, 2026

Meta ha sospeso il suo controverso programma di monitoraggio dei dipendenti. Purtroppo, non è stata la tutela della privacy dei dipendenti a determinarne la sospensione.

Aggiungi come fonte preferita su Google

Articoli correlati

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe