Erros, Notícias

A vulnerabilidade PixelSmash transforma arquivos de vídeo em ferramentas de ataque

por Pieter Arntz | 24 de junho de 2026
PixelSmash
Adicionar como fonte preferencial no Google

Uma vulnerabilidade recém-descoberta no decodificador MagicYUV do FFmpeg pode transformar um vídeo minúsculo e com formato inválido em um ponto de entrada para invasores.

Pesquisadores revelaram o PixelSmash, uma vulnerabilidade crítica identificada como CVE-2026-8461, no decodificador de vídeo MagicYUV do FFmpeg, com uma pontuação CVSS de 8,8.

Ao criar um arquivo AVI, MKV ou MOV com formatação específica, um invasor pode causar uma falha no sistema ou, potencialmente, executar código em qualquer sistema que tente gerar uma miniatura, extrair metadados ou reproduzir o arquivo com uma versão vulnerável do FFmpeg.

O que é o FFmpeg e isso é sério?

O FFmpeg é um conjunto de ferramentas de código aberto para gravação, conversão e transmissão de áudio e vídeo, e sua biblioteca libavcodec implementa centenas de decodificadores de áudio e vídeo.

Um deles é o MagicYUV, um codec sem perdas muito utilizado na edição de vídeo. Uma vulnerabilidade recém-descoberta no decodificador MagicYUV do FFmpeg pode transformar um vídeo minúsculo e malformado em um ponto de entrada para invasores.

Pesquisadores revelaram o PixelSmash, uma vulnerabilidade crítica identificada como CVE-2026-8461, no decodificador de vídeo MagicYUV do FFmpeg, com uma pontuação CVSS de 8,8.

Ao criar um arquivo AVI, MKV ou MOV com formatação específica, um invasor pode causar uma falha no sistema ou, potencialmente, executar código em qualquer sistema que tente gerar uma miniatura, extrair metadados ou reproduzir o arquivo com uma versão vulnerável do FFmpeg.

O que é o FFmpeg e isso é sério?

O FFmpeg é um conjunto de ferramentas de código aberto para gravação, conversão e transmissão de áudio e vídeo, e sua biblioteca libavcodec implementa centenas de decodificadores de áudio e vídeo.

Um deles é o MagicYUV, um codec sem perdas muito utilizado na edição de vídeo. Os pesquisadores descobriram que ele estava habilitado por padrão no FFmpeg original e em todos os pacotes de distribuição do Linux que testaram até a versão 9.0 do FFmpeg.

O impacto é mais grave do que você imagina. Se você utiliza qualquer sistema que lide com vídeo — desde um desktop Linux até um servidor Jellyfin ou Nextcloud, ou mesmo um modelo de IA que processa clipes —, provavelmente depende do FFmpeg nos bastidores.

É difícil estimar com exatidão quantos sistemas foram afetados, mas é importante saber que:

  • Dezenas de milhões de sistemas Linux dependem de ffmpegthumbnailer e sistema libavcodec no caso das miniaturas, o simples fato de “navegar por uma pasta” pode acionar o bug se houver um arquivo malicioso.
  • O Jellyfin e o Nextcloud, que estão entre as plataformas de mídia e arquivos auto-hospedadas mais populares do mundo, possuem, cada uma, pelo menos dezenas de milhares de servidores ativos acessíveis pela internet. Quase todos aqueles que não atualizaram o FFmpeg ou desativaram o MagicYUV estão vulneráveis a ataques de negação de serviço (DoS) e, em algumas configurações, a ataques direcionados de execução remota de código (RCE).
  • Uma grande parte dos dispositivos de armazenamento conectado à rede (NAS) para consumidores e das plataformas de smart TV utiliza o FFmpeg para visualizações e miniaturas. Esses dispositivos são vendidos aos milhões.

O aspecto mais preocupante do PixelSmash é o quão pouco é necessário para acioná-lo. Basta um aplicativo que utilize o FFmpeg para processar arquivos de mídia não confiáveis e que tenha o decodificador MagicYUV compilado nele.

O PixelSmash é um bom exemplo de um problema mais amplo no ecossistema de código aberto: um bug em uma dependência profunda que se propaga silenciosamente por toda parte.

Como se proteger

Essa vulnerabilidade não é algo com que a maioria dos usuários domésticos precise se preocupar. Ela deve ser resolvida na fonte. Os usuários das distribuições Linux afetadas devem ficar atentos às atualizações do FFmpeg ou às atualizações de segurança fornecidas por suas respectivas distribuições.

Mas, se você for responsável por sistemas que lidam com vídeo, deve partir do princípio de que está afetado até que se prove o contrário. As principais medidas de mitigação são:

  • Atualize o FFmpeg. A versão 8.1.2 do FFmpeg , lançada em 17 de junho de 2026, inclui uma correção para a vulnerabilidade CVE‑2026‑8461. Se sua distribuição ou fornecedor disponibilizar uma versão atualizada do FFmpeg, instale-a em desktops, servidores e contêineres.
  • Verifique se o MagicYUV está ativado e desative-o ou aplique correções, sempre que possível.
  • Reduza o processamento automático de vídeos não confiáveis. Verifique quais provedores de visualização e geradores de miniaturas estão ativados, especialmente para formatos raramente utilizados.

Por fim, vale a pena ficar atento a falhas anormais em reprodutores de mídia, geradores de miniaturas ou servidores de mídia, especialmente após abrir ou baixar um novo arquivo de vídeo. Você deve considerar falhas repetidas ou a ausência de miniaturas como possíveis indicadores de conteúdo malicioso até que os sistemas sejam atualizados.

Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

O impacto é mais grave do que você imagina. Se você utiliza qualquer sistema que lide com vídeo — desde um desktop Linux até um servidor Jellyfin ou Nextcloud, ou mesmo um modelo de IA que processa clipes —, provavelmente depende do FFmpeg nos bastidores.

É difícil estimar com exatidão quantos sistemas foram afetados, mas é importante saber que:

  • Dezenas de milhões de sistemas Linux dependem de ffmpegthumbnailer e sistema libavcodec no caso das miniaturas, o simples fato de “navegar por uma pasta” pode acionar o bug se houver um arquivo malicioso.
  • O Jellyfin e o Nextcloud, que estão entre as plataformas de mídia e arquivos auto-hospedadas mais populares do mundo, possuem, cada uma, pelo menos dezenas de milhares de servidores ativos acessíveis pela internet. Quase todos aqueles que não atualizaram o FFmpeg ou desativaram o MagicYUV estão vulneráveis a ataques de negação de serviço (DoS) e, em algumas configurações, a ataques direcionados de execução remota de código (RCE).
  • Uma grande parte dos dispositivos de armazenamento conectado à rede (NAS) para consumidores e das plataformas de smart TV utiliza o FFmpeg para visualizações e miniaturas. Esses dispositivos são vendidos aos milhões.

O aspecto mais preocupante do PixelSmash é o quão pouco é necessário para acioná-lo. Basta um aplicativo que utilize o FFmpeg para processar arquivos de mídia não confiáveis e que tenha o decodificador MagicYUV compilado nele.

O PixelSmash é um bom exemplo de um problema mais amplo no ecossistema de código aberto: um bug em uma dependência profunda que se propaga silenciosamente por toda parte.

Como se proteger

Essa vulnerabilidade não é algo com que a maioria dos usuários domésticos precise se preocupar. Ela deve ser resolvida na fonte. Os usuários das distribuições Linux afetadas devem ficar atentos às atualizações do FFmpeg ou às atualizações de segurança fornecidas por suas respectivas distribuições.

Mas, se você for responsável por sistemas que lidam com vídeo, deve partir do princípio de que está afetado até que se prove o contrário. As principais medidas de mitigação são:

  • Atualize o FFmpeg. A versão 8.1.2 do FFmpeg , lançada em 17 de junho de 2026, inclui uma correção para a vulnerabilidade CVE‑2026‑8461. Se sua distribuição ou fornecedor disponibilizar uma versão atualizada do FFmpeg, instale-a em desktops, servidores e contêineres.
  • Verifique se o MagicYUV está ativado e desative-o ou aplique correções, sempre que possível.
  • Reduza o processamento automático de vídeos não confiáveis. Verifique quais provedores de visualização e geradores de miniaturas estão ativados, especialmente para formatos raramente utilizados.

Por fim, vale a pena ficar atento a falhas anormais em reprodutores de mídia, geradores de miniaturas ou servidores de mídia, especialmente após abrir ou baixar um novo arquivo de vídeo. Você deve considerar falhas repetidas ou a ausência de miniaturas como possíveis indicadores de conteúdo malicioso até que os sistemas sejam atualizados.

Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

Produto
Lobo em pele de cordeiro

Fique atento a golpes de renovação que se passam pela Malwarebytes

Junho 24, 2026

Golpistas estão enviando avisos falsos de renovação de software, alegando que foi cobrada uma assinatura. Alguns chegam até a se passar Malwarebytes.

Golpes
Um jovem sentou-se com a cabeça em uma das mãos e segurando um telefone na outra.

Total a todos os seus dispositivos.” Golpistas de sextorsão atacam novamente

Junho 24, 2026

Eles dizem que têm vídeos, malware e controle total sobre seus dispositivos. Veja aqui como analisar um e-mail de sextorsão como um pesquisador de segurança, em vez de como uma vítima.

Notícias
Meta logotipo

A Meta suspende programa polêmico de monitoramento de funcionários após análise de segurança

Junho 23, 2026

A Meta suspendeu seu polêmico programa de monitoramento de funcionários. Infelizmente, não foi a privacidade dos funcionários que levou à suspensão do programa.

Adicionar como fonte preferencial no Google

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes