Błędy, Aktualności

Luka w zabezpieczeniach PixelSmash sprawia, że pliki wideo stają się narzędziami ataku

autor: Pieter Arntz | 24 czerwca 2026 r.
PixelSmash
Dodaj jako preferowane źródło w Google

Nowo odkryta luka w zabezpieczeniach dekodera MagicYUV biblioteki FFmpeg może sprawić, że nawet niewielki plik wideo o nieprawidłowej strukturze stanie się punktem zaczepienia dla atakujących.

Naukowcy ujawnili lukę PixelSmash — krytyczną lukę w zabezpieczeniach oznaczoną numerem CVE-2026-8461 — w dekoderze wideo MagicYUV biblioteki FFmpeg, której wskaźnik CVSS wynosi 8,8.

Tworząc specjalnie sformułowany plik w formacie AVI, MKV lub MOV, osoba atakująca może spowodować awarię lub potencjalnie uruchomić kod na dowolnym systemie, który próbuje wygenerować miniaturę, wyodrębnić metadane lub odtworzyć plik przy użyciu podatnej na atak wersji biblioteki FFmpeg.

Czym jest FFmpeg i czy to poważna sprawa?

FFmpeg to zestaw narzędzi typu open source służący do nagrywania, konwersji i strumieniowego przesyłania plików audio i wideo, a zawarta w nim biblioteka libavcodec zawiera setki dekoderów audio i wideo.

Jednym z nich jest MagicYUV, bezstratny kodek popularny w edycji wideo. Niedawno odkryta luka w dekoderze MagicYUV biblioteki FFmpeg może sprawić, że nawet niewielki plik wideo o nieprawidłowej strukturze stanie się punktem zaczepienia dla atakujących.

Naukowcy ujawnili lukę PixelSmash — krytyczną lukę w zabezpieczeniach oznaczoną numerem CVE-2026-8461 — w dekoderze wideo MagicYUV biblioteki FFmpeg, której wskaźnik CVSS wynosi 8,8.

Tworząc specjalnie sformułowany plik w formacie AVI, MKV lub MOV, osoba atakująca może spowodować awarię lub potencjalnie wykonać kod na dowolnym systemie, który próbuje wygenerować miniaturę, wyodrębnić metadane lub odtworzyć plik przy użyciu podatnej na atak wersji biblioteki FFmpeg.

Czym jest FFmpeg i czy to poważna sprawa?

FFmpeg to zestaw narzędzi typu open source służący do nagrywania, konwersji i strumieniowego przesyłania plików audio i wideo, a zawarta w nim biblioteka libavcodec zawiera setki dekoderów audio i wideo.

Jednym z nich jest MagicYUV, bezstratny kodek popularny w edycji wideo. Naukowcy odkryli, że był on domyślnie włączony w głównym gałęzi FFmpeg oraz we wszystkich testowanych przez nich pakietach dystrybucji Linuksa, aż do wersji FFmpeg 9.0.

Konsekwencje są poważniejsze, niż mogłoby się wydawać. Jeśli korzystasz z jakiegokolwiek oprogramowania związanego z wideo — od pulpitu w systemie Linux po serwer Jellyfin lub Nextcloud, a nawet model sztucznej inteligencji przetwarzający klipy — prawdopodobnie w tle korzystasz z biblioteki FFmpeg.

Trudno jest podać dokładną liczbę systemów, których to dotyczy, ale warto wiedzieć, że:

  • Dziesiątki milionów systemów z Linuksem opierają się na ffmpegthumbnailer oraz system libavcodec w przypadku miniatur — co oznacza, że „zwykłe przeglądanie folderu” może spowodować wystąpienie błędu, jeśli w folderze znajduje się złośliwy plik.
  • Jellyfin i Nextcloud, należące do najpopularniejszych na świecie platform do samodzielnego hostowania multimediów i plików, dysponują po co najmniej kilkadziesiąt tysięcy aktywnych serwerów dostępnych w Internecie. Prawie wszystkie z tych serwerów, na których nie zaktualizowano biblioteki FFmpeg ani nie wyłączono funkcji MagicYUV, są narażone na ataki typu odmowa usługi (DoS), a w niektórych konfiguracjach – na ukierunkowane ataki polegające na zdalnym wykonaniu kodu (RCE).
  • Znaczna część konsumenckich sieciowych urządzeń pamięci masowej (NAS) oraz platform telewizorów smart wykorzystuje FFmpeg do wyświetlania podglądów i miniatur. Urządzenia te sprzedają się w milionach egzemplarzy.

Najbardziej niepokojące w PixelSmash jest to, jak niewiele wystarczy, by go uruchomić. Wystarczy aplikacja, która wykorzystuje FFmpeg do przetwarzania niezaufanych plików multimedialnych i ma wkompilowany dekoder MagicYUV.

PixelSmash stanowi dobry przykład szerszego problemu występującego w ekosystemie oprogramowania open source: błędu w głębokiej zależności, który w sposób niezauważalny rozprzestrzenia się wszędzie.

Jak się chronić

Większość użytkowników domowych nie musi się martwić tą luką. Należy ją usunąć na wyższym poziomie. Użytkownicy podatnych dystrybucji systemu Linux powinni śledzić aktualizacje biblioteki FFmpeg oraz aktualizacje zabezpieczeń udostępniane przez ich dystrybucję.

Jeśli jednak odpowiadasz za systemy obsługujące materiały wideo, powinieneś założyć, że problem dotyczy również Ciebie, dopóki nie udowodnisz, że jest inaczej. Główne działania mające na celu ograniczenie skutków to:

  • Zaktualizuj FFmpeg. Wersja FFmpeg 8.1.2, wydana 17 czerwca 2026 r., zawiera poprawkę dotyczącą luki CVE‑2026‑8461. Jeśli Twoja dystrybucja lub dostawca udostępnia zaktualizowaną wersję FFmpeg, zainstaluj ją na komputerach stacjonarnych, serwerach i w kontenerach.
  • Sprawdź, czy funkcja MagicYUV jest włączona, i wyłącz ją lub, jeśli to możliwe, zainstaluj poprawki.
  • Ogranicz automatyczne przetwarzanie niezaufanych plików wideo. Sprawdź, które usługi podglądu i generowania miniatur są włączone, zwłaszcza w przypadku rzadko używanych formatów.

Na koniec warto zwracać uwagę na nietypowe awarie odtwarzaczy multimedialnych, programów do generowania miniatur lub serwerów multimedialnych, zwłaszcza po otwarciu lub pobraniu nowego pliku wideo. Powtarzające się awarie lub brakujące miniatury należy traktować jako potencjalne oznaki obecności złośliwej treści do czasu zainstalowania poprawek w systemach.

Nie tylko informujemy o zagrożeniach - my je usuwamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.

Konsekwencje są poważniejsze, niż mogłoby się wydawać. Jeśli korzystasz z jakiegokolwiek oprogramowania związanego z wideo — od pulpitu w systemie Linux po serwer Jellyfin lub Nextcloud, a nawet model sztucznej inteligencji przetwarzający klipy — prawdopodobnie w tle korzystasz z biblioteki FFmpeg.

Trudno jest podać dokładną liczbę systemów, których to dotyczy, ale warto wiedzieć, że:

  • Dziesiątki milionów systemów z Linuksem opierają się na ffmpegthumbnailer oraz system libavcodec w przypadku miniatur — co oznacza, że „zwykłe przeglądanie folderu” może spowodować wystąpienie błędu, jeśli w folderze znajduje się złośliwy plik.
  • Jellyfin i Nextcloud, należące do najpopularniejszych na świecie platform do samodzielnego hostowania multimediów i plików, dysponują po co najmniej kilkadziesiąt tysięcy aktywnych serwerów dostępnych w Internecie. Prawie wszystkie z tych serwerów, na których nie zaktualizowano biblioteki FFmpeg ani nie wyłączono funkcji MagicYUV, są narażone na ataki typu odmowa usługi (DoS), a w niektórych konfiguracjach – na ukierunkowane ataki polegające na zdalnym wykonaniu kodu (RCE).
  • Znaczna część konsumenckich sieciowych urządzeń pamięci masowej (NAS) oraz platform telewizorów smart wykorzystuje FFmpeg do wyświetlania podglądów i miniatur. Urządzenia te sprzedają się w milionach egzemplarzy.

Najbardziej niepokojące w PixelSmash jest to, jak niewiele wystarczy, by go uruchomić. Wystarczy aplikacja, która wykorzystuje FFmpeg do przetwarzania niezaufanych plików multimedialnych i ma wkompilowany dekoder MagicYUV.

PixelSmash stanowi dobry przykład szerszego problemu występującego w ekosystemie oprogramowania open source: błędu w głębokiej zależności, który w sposób niezauważalny rozprzestrzenia się wszędzie.

Jak się chronić

Większość użytkowników domowych nie musi się martwić tą luką. Należy ją usunąć na wyższym poziomie. Użytkownicy podatnych dystrybucji systemu Linux powinni śledzić aktualizacje biblioteki FFmpeg oraz aktualizacje zabezpieczeń udostępniane przez ich dystrybucję.

Jeśli jednak odpowiadasz za systemy obsługujące materiały wideo, powinieneś założyć, że problem dotyczy również Ciebie, dopóki nie udowodnisz, że jest inaczej. Główne działania mające na celu ograniczenie skutków to:

  • Zaktualizuj FFmpeg. Wersja FFmpeg 8.1.2, wydana 17 czerwca 2026 r., zawiera poprawkę dotyczącą luki CVE‑2026‑8461. Jeśli Twoja dystrybucja lub dostawca udostępnia zaktualizowaną wersję FFmpeg, zainstaluj ją na komputerach stacjonarnych, serwerach i w kontenerach.
  • Sprawdź, czy funkcja MagicYUV jest włączona, i wyłącz ją lub, jeśli to możliwe, zainstaluj poprawki.
  • Ogranicz automatyczne przetwarzanie niezaufanych plików wideo. Sprawdź, które usługi podglądu i generowania miniatur są włączone, zwłaszcza w przypadku rzadko używanych formatów.

Na koniec warto zwracać uwagę na nietypowe awarie odtwarzaczy multimedialnych, programów do generowania miniatur lub serwerów multimedialnych, zwłaszcza po otwarciu lub pobraniu nowego pliku wideo. Powtarzające się awarie lub brakujące miniatury należy traktować jako potencjalne oznaki obecności złośliwej treści do czasu zainstalowania poprawek w systemach.

Nie tylko informujemy o zagrożeniach - my je usuwamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.

O autorze

Pieter Arntz

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.

NAJNOWSZE ARTYKUŁY

Produkt
Wilk w owczej skórze

Uważaj na oszustwa związane z przedłużeniem subskrypcji, w których sprawcy podszywają się pod firmę Malwarebytes

Czerwiec 24, 2026

Oszuści wysyłają fałszywe powiadomienia o przedłużeniu licencji oprogramowania, w których twierdzą, że naliczono opłatę za subskrypcję. Niektórzy podszywają się nawet pod Malwarebytes.

Oszustwa
Młody mężczyzna siedział z głową w jednej ręce, a w drugiej trzymał telefon.

Total do wszystkich twoich urządzeń”. Oszuści stosujący sekstorsję znów uderzają

Czerwiec 24, 2026

Twierdzą, że mają nagrania, złośliwe oprogramowanie i pełną kontrolę nad twoimi urządzeniami. Oto jak analizować e-mail z groźbą szantażu seksualnego z perspektywy badacza ds. bezpieczeństwa, a nie ofiary.

Aktualności
Logo Meta

Meta wstrzymuje kontrowersyjny program monitorowania pracowników po przeprowadzeniu przeglądu bezpieczeństwa

Czerwiec 23, 2026

Firma Meta wstrzymała swój kontrowersyjny program monitorowania pracowników. Niestety, to nie kwestia prywatności pracowników spowodowała jego wstrzymanie.

Dodaj jako preferowane źródło w Google

Powiązane artykuły

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa