Bugs, Nieuws

Door het PixelSmash-beveiligingslek worden videobestanden omgezet in aanvalsmiddelen

door Pieter Arntz | 24 juni 2026
PixelSmash
Toevoegen als voorkeursbron op Google

Een onlangs ontdekte kwetsbaarheid in de MagicYUV-decoder van FFmpeg kan ervoor zorgen dat een klein, onjuist opgebouwd videobestand een voet aan de grond biedt aan aanvallers.

Onderzoekers hebben PixelSmash bekendgemaakt, een kritieke kwetsbaarheid die is geregistreerd onder CVE-2026-8461, in de MagicYUV-videodecoder van FFmpeg, met een CVSS-score van 8,8.

Door een speciaal opgemaakt AVI-, MKV- of MOV-bestand te maken, kan een aanvaller elk systeem laten crashen of mogelijk code uitvoeren op elk systeem dat probeert een miniatuur afbeelding te genereren, metagegevens te extraheren of het bestand af te spelen met een kwetsbare versie van FFmpeg.

Wat is FFmpeg en is dit serieus?

FFmpeg is een open-source-toolkit voor het opnemen, converteren en streamen van audio en video, en de bijbehorende libavcodec-bibliotheek bevat honderden audio- en videodecoders.

Een daarvan is MagicYUV, een verliesvrije codec die veel wordt gebruikt bij videobewerking. Een pas ontdekte kwetsbaarheid in de MagicYUV-decoder van FFmpeg kan ervoor zorgen dat een klein, verkeerd opgebouwd filmpje een voet aan de grond biedt aan aanvallers.

Onderzoekers hebben PixelSmash bekendgemaakt, een kritieke kwetsbaarheid die is geregistreerd onder CVE-2026-8461, in de MagicYUV-videodecoder van FFmpeg, met een CVSS-score van 8,8.

Door een speciaal opgemaakt AVI-, MKV- of MOV-bestand te maken, kan een aanvaller elk systeem laten crashen of mogelijk code uitvoeren op elk systeem dat probeert een miniatuur te genereren, metagegevens te extraheren of het bestand af te spelen met een kwetsbare versie van FFmpeg.

Wat is FFmpeg en is dit serieus?

FFmpeg is een open-source-toolkit voor het opnemen, converteren en streamen van audio en video, en de bijbehorende libavcodec-bibliotheek bevat honderden audio- en videodecoders.

Een daarvan is MagicYUV, een verliesvrije codec die veel wordt gebruikt bij videobewerking. De onderzoekers ontdekten dat deze standaard was ingeschakeld in de upstream-versie van FFmpeg en in elk Linux-distributiepakket dat ze hebben getest tot en met FFmpeg 9.0.

De gevolgen zijn ernstiger dan je misschien denkt. Als je iets gebruikt dat met video te maken heeft – van een Linux-desktop tot een Jellyfin- of Nextcloud-server, of zelfs een AI-model dat filmpjes verwerkt – dan maak je waarschijnlijk achter de schermen gebruik van FFmpeg.

Het is moeilijk om precies te zeggen hoeveel systemen hierdoor zijn getroffen, maar het is goed om te weten dat:

  • Tientallen miljoenen Linux-systemen zijn afhankelijk van ffmpegthumbnailer en systeem libavcodec bij miniatuurafbeeldingen kan het ‘gewoon door een map bladeren’ de bug activeren als er een schadelijk bestand aanwezig is.
  • Jellyfin en Nextcloud, die wereldwijd tot de populairste zelfgehoste media- en bestandsplatforms behoren, beschikken elk over minstens tienduizenden actieve, via internet bereikbare servers. Bijna alle servers waarop FFmpeg niet is bijgewerkt of MagicYUV niet is uitgeschakeld, zijn kwetsbaar voor denial-of-service-aanvallen (DoS) en, in bepaalde configuraties, voor gerichte aanvallen waarbij op afstand code wordt uitgevoerd (RCE).
  • Een groot deel van de NAS-apparaten (Network Attached Storage) en smart-tv-platforms voor consumenten maakt gebruik van FFmpeg voor voorbeelden en miniatuurafbeeldingen. Van deze apparaten worden miljoenen exemplaren verkocht.

Het meest verontrustende aan PixelSmash is hoe weinig er nodig is om het te activeren. Het enige wat je nodig hebt, is een applicatie die FFmpeg gebruikt om onbetrouwbare media te verwerken en waarin de MagicYUV-decoder is ingebouwd.

PixelSmash is een goed voorbeeld van een breder probleem binnen het open-source-ecosysteem: een bug in een diepgewortelde afhankelijkheid die zich ongemerkt overal verspreidt.

Hoe u uzelf kunt beschermen

De meeste thuisgebruikers hoeven zich geen zorgen te maken over deze kwetsbaarheid. Dit moet op een hoger niveau worden opgelost. Gebruikers van de getroffen Linux-distributies moeten in de gaten houden of er updates voor FFmpeg of beveiligingsupdates van hun distributie beschikbaar zijn.

Maar als je verantwoordelijk bent voor systemen die video verwerken, moet je ervan uitgaan dat je hierdoor wordt getroffen, totdat je het tegendeel hebt aangetoond. De belangrijkste maatregelen om de gevolgen te beperken zijn:

  • Werk FFmpeg bij. FFmpeg- versie 8.1.2, uitgebracht op 17 juni 2026, bevat een oplossing voor CVE‑2026‑8461. Als uw distributie of leverancier een bijgewerkte versie van FFmpeg aanbiedt, installeer deze dan op alle desktops, servers en containers.
  • Controleer of MagicYUV is ingeschakeld en schakel het uit of pas waar mogelijk patches toe.
  • Beperk de automatische verwerking van onbetrouwbare video’s. Controleer welke preview-providers en thumbnailers zijn ingeschakeld, met name voor zelden gebruikte formaten.

Tot slot is het de moeite waard om te letten op ongewone crashes van mediaspelers, thumbnailers of mediaservers, vooral na het openen of downloaden van een nieuw videobestand. Herhaaldelijke crashes of ontbrekende thumbnails moet je beschouwen als mogelijke aanwijzingen voor schadelijke inhoud, totdat de systemen zijn gepatcht.

We rapporteren niet alleen over bedreigingen - we verwijderen ze ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.

De gevolgen zijn ernstiger dan je misschien denkt. Als je iets gebruikt dat met video te maken heeft – van een Linux-desktop tot een Jellyfin- of Nextcloud-server, of zelfs een AI-model dat filmpjes verwerkt – dan maak je waarschijnlijk achter de schermen gebruik van FFmpeg.

Het is moeilijk om precies te zeggen hoeveel systemen hierdoor zijn getroffen, maar het is goed om te weten dat:

  • Tientallen miljoenen Linux-systemen zijn afhankelijk van ffmpegthumbnailer en systeem libavcodec bij miniatuurafbeeldingen kan het ‘gewoon door een map bladeren’ de bug activeren als er een schadelijk bestand aanwezig is.
  • Jellyfin en Nextcloud, die wereldwijd tot de populairste zelfgehoste media- en bestandsplatforms behoren, beschikken elk over minstens tienduizenden actieve, via internet bereikbare servers. Bijna alle servers waarop FFmpeg niet is bijgewerkt of MagicYUV niet is uitgeschakeld, zijn kwetsbaar voor denial-of-service-aanvallen (DoS) en, in bepaalde configuraties, voor gerichte aanvallen waarbij op afstand code wordt uitgevoerd (RCE).
  • Een groot deel van de NAS-apparaten (Network Attached Storage) en smart-tv-platforms voor consumenten maakt gebruik van FFmpeg voor voorbeelden en miniatuurafbeeldingen. Van deze apparaten worden miljoenen exemplaren verkocht.

Het meest verontrustende aan PixelSmash is hoe weinig er nodig is om het te activeren. Het enige wat je nodig hebt, is een applicatie die FFmpeg gebruikt om onbetrouwbare media te verwerken en waarin de MagicYUV-decoder is ingebouwd.

PixelSmash is een goed voorbeeld van een breder probleem binnen het open-source-ecosysteem: een bug in een diepgewortelde afhankelijkheid die zich ongemerkt overal verspreidt.

Hoe u uzelf kunt beschermen

De meeste thuisgebruikers hoeven zich geen zorgen te maken over deze kwetsbaarheid. Dit moet op een hoger niveau worden opgelost. Gebruikers van de getroffen Linux-distributies moeten in de gaten houden of er updates voor FFmpeg of beveiligingsupdates van hun distributie beschikbaar zijn.

Maar als je verantwoordelijk bent voor systemen die video verwerken, moet je ervan uitgaan dat je hierdoor wordt getroffen, totdat je het tegendeel hebt aangetoond. De belangrijkste maatregelen om de gevolgen te beperken zijn:

  • Werk FFmpeg bij. FFmpeg- versie 8.1.2, uitgebracht op 17 juni 2026, bevat een oplossing voor CVE‑2026‑8461. Als uw distributie of leverancier een bijgewerkte versie van FFmpeg aanbiedt, installeer deze dan op alle desktops, servers en containers.
  • Controleer of MagicYUV is ingeschakeld en schakel het uit of pas waar mogelijk patches toe.
  • Beperk de automatische verwerking van onbetrouwbare video’s. Controleer welke preview-providers en thumbnailers zijn ingeschakeld, met name voor zelden gebruikte formaten.

Tot slot is het de moeite waard om te letten op ongewone crashes van mediaspelers, thumbnailers of mediaservers, vooral na het openen of downloaden van een nieuw videobestand. Herhaaldelijke crashes of ontbrekende thumbnails moet je beschouwen als mogelijke aanwijzingen voor schadelijke inhoud, totdat de systemen zijn gepatcht.

We rapporteren niet alleen over bedreigingen - we verwijderen ze ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Product
Een wolf in schaapskleren

Pas op voor oplichting bij verlengingen waarbij men zich voordoet als Malwarebytes

Juni 24, 2026

Oplichters versturen valse kennisgevingen over softwareverlenging waarin wordt beweerd dat er kosten in rekening zijn gebracht voor een abonnement. Sommigen doen zich zelfs voor als Malwarebytes.

Oplichting
Een jongeman ging zitten met zijn hoofd in de ene hand en een telefoon in de andere.

Total tot al je apparaten.” Oplichters die zich bezighouden met sextortion slaan opnieuw toe

Juni 24, 2026

Ze beweren dat ze video’s en malware in hun bezit hebben en volledige controle over je apparaten hebben. Hier lees je hoe je een sextortion-e-mail kunt benaderen als een beveiligingsonderzoeker in plaats van als slachtoffer.

Nieuws
Meta-logo

Meta zet omstreden programma voor het volgen van werknemers tijdelijk stop na een veiligheidsbeoordeling

Juni 23, 2026

Meta heeft zijn controversiële programma voor het volgen van werknemers opgeschort. Helaas was de privacy van de werknemers niet de reden waarom het programma werd stopgezet.

Toevoegen als voorkeursbron op Google

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting