Erros, Notícias

A falha PixelSmash transforma ficheiros de vídeo em ferramentas de ataque

por Pieter Arntz | 24 de junho de 2026
PixelSmash
Adicionar como fonte preferencial no Google

Uma vulnerabilidade recentemente descoberta no descodificador MagicYUV do FFmpeg pode transformar um pequeno vídeo com formato incorreto numa porta de entrada para os atacantes.

Os investigadores revelaram a «PixelSmash», uma vulnerabilidade crítica identificada como CVE-2026-8461, no descodificador de vídeo MagicYUV do FFmpeg, com uma pontuação CVSS de 8,8.

Ao criar um ficheiro AVI, MKV ou MOV com um formato específico, um atacante pode provocar uma falha ou, potencialmente, executar código em qualquer sistema que tente gerar uma miniatura, extrair metadados ou reproduzir o ficheiro com uma versão vulnerável do FFmpeg.

O que é o FFmpeg e isto é a sério?

O FFmpeg é um conjunto de ferramentas de código aberto para gravar, converter e transmitir áudio e vídeo, e a sua biblioteca libavcodec implementa centenas de descodificadores de áudio e vídeo.

Um deles é o MagicYUV, um codec sem perdas muito utilizado na edição de vídeo. Uma vulnerabilidade recentemente descoberta no descodificador MagicYUV do FFmpeg pode transformar um pequeno vídeo com formato incorreto numa porta de entrada para os atacantes.

Os investigadores revelaram a «PixelSmash», uma vulnerabilidade crítica identificada como CVE-2026-8461, no descodificador de vídeo MagicYUV do FFmpeg, com uma pontuação CVSS de 8,8.

Ao criar um ficheiro AVI, MKV ou MOV com um formato específico, um atacante pode provocar uma falha ou, potencialmente, executar código em qualquer sistema que tente gerar uma miniatura, extrair metadados ou reproduzir o ficheiro com uma versão vulnerável do FFmpeg.

O que é o FFmpeg e isto é a sério?

O FFmpeg é um conjunto de ferramentas de código aberto para gravar, converter e transmitir áudio e vídeo, e a sua biblioteca libavcodec implementa centenas de descodificadores de áudio e vídeo.

Um deles é o MagicYUV, um codec sem perdas muito utilizado na edição de vídeo. Os investigadores descobriram que este estava ativado por predefinição no FFmpeg original e em todos os pacotes de distribuição Linux que testaram até à versão 9.0 do FFmpeg.

O impacto é mais grave do que se possa pensar. Se utilizar qualquer sistema relacionado com vídeo — desde um ambiente de trabalho Linux até um servidor Jellyfin ou Nextcloud, ou mesmo um modelo de IA que processe clips —, provavelmente depende do FFmpeg nos bastidores.

É difícil determinar com exatidão quantos sistemas estão afetados, mas é útil saber que:

  • Dezenas de milhões de sistemas Linux dependem de ffmpegthumbnailer e sistema libavcodec No caso das miniaturas, o simples facto de «navegar numa pasta» pode desencadear o erro, caso exista um ficheiro malicioso.
  • O Jellyfin e o Nextcloud, que se contam entre as plataformas de ficheiros e multimédia auto-hospedadas mais populares a nível mundial, dispõem, cada uma, de, pelo menos, dezenas de milhares de servidores ativos acessíveis pela Internet. Quase todos aqueles que não atualizaram o FFmpeg nem desativaram o MagicYUV estão vulneráveis a ataques de negação de serviço (DoS) e, em algumas configurações, a ataques direcionados de execução remota de código (RCE).
  • Uma grande parte dos dispositivos de armazenamento ligado à rede (NAS) e das plataformas de televisão inteligente utiliza o FFmpeg para pré-visualizações e miniaturas. Estes dispositivos são vendidos aos milhões.

O aspeto mais preocupante do PixelSmash é o quão pouco é necessário para o ativar. Basta uma aplicação que utilize o FFmpeg para processar ficheiros multimédia não confiáveis e que tenha o descodificador MagicYUV compilado.

O PixelSmash é um bom exemplo de um problema mais abrangente no ecossistema do código aberto: um erro numa dependência profunda que se propaga silenciosamente por todo o lado.

Como se proteger

Esta vulnerabilidade não é algo com que a maioria dos utilizadores domésticos tenha de se preocupar. Deve ser resolvida a nível do código-fonte. Os utilizadores das distribuições Linux afetadas devem estar atentos às atualizações do FFmpeg ou às atualizações de segurança da sua distribuição.

No entanto, se for responsável por sistemas que processam vídeo, deve partir do princípio de que está afetado até que se prove o contrário. As principais medidas de mitigação são:

  • Atualize o FFmpeg. A versão 8.1.2 do FFmpeg , lançada a 17 de junho de 2026, inclui uma correção para a vulnerabilidade CVE‑2026‑8461. Se a sua distribuição ou fornecedor disponibilizar uma versão atualizada do FFmpeg, instale-a em computadores, servidores e contentores.
  • Verifique se o MagicYUV está ativado e desative-o ou aplique correções, sempre que possível.
  • Reduza o processamento automático de vídeos não confiáveis. Verifique quais fornecedores de pré-visualização e geradores de miniaturas estão ativados, especialmente no caso de formatos raramente utilizados.

Por fim, vale a pena estar atento a falhas anormais em reprodutores multimédia, programas de criação de miniaturas ou servidores multimédia, especialmente após abrir ou descarregar um novo ficheiro de vídeo. Deve considerar as falhas repetidas ou a ausência de miniaturas como potenciais indicadores de conteúdo malicioso até que os sistemas sejam atualizados.

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

O impacto é mais grave do que se possa pensar. Se utilizar qualquer sistema relacionado com vídeo — desde um ambiente de trabalho Linux até um servidor Jellyfin ou Nextcloud, ou mesmo um modelo de IA que processe clips —, provavelmente depende do FFmpeg nos bastidores.

É difícil determinar com exatidão quantos sistemas estão afetados, mas é útil saber que:

  • Dezenas de milhões de sistemas Linux dependem de ffmpegthumbnailer e sistema libavcodec No caso das miniaturas, o simples facto de «navegar numa pasta» pode desencadear o erro, caso exista um ficheiro malicioso.
  • O Jellyfin e o Nextcloud, que se contam entre as plataformas de ficheiros e multimédia auto-hospedadas mais populares a nível mundial, dispõem, cada uma, de, pelo menos, dezenas de milhares de servidores ativos acessíveis pela Internet. Quase todos aqueles que não atualizaram o FFmpeg nem desativaram o MagicYUV estão vulneráveis a ataques de negação de serviço (DoS) e, em algumas configurações, a ataques direcionados de execução remota de código (RCE).
  • Uma grande parte dos dispositivos de armazenamento ligado à rede (NAS) e das plataformas de televisão inteligente utiliza o FFmpeg para pré-visualizações e miniaturas. Estes dispositivos são vendidos aos milhões.

O aspeto mais preocupante do PixelSmash é o quão pouco é necessário para o ativar. Basta uma aplicação que utilize o FFmpeg para processar ficheiros multimédia não confiáveis e que tenha o descodificador MagicYUV compilado.

O PixelSmash é um bom exemplo de um problema mais abrangente no ecossistema do código aberto: um erro numa dependência profunda que se propaga silenciosamente por todo o lado.

Como se proteger

Esta vulnerabilidade não é algo com que a maioria dos utilizadores domésticos tenha de se preocupar. Deve ser resolvida a nível do código-fonte. Os utilizadores das distribuições Linux afetadas devem estar atentos às atualizações do FFmpeg ou às atualizações de segurança da sua distribuição.

No entanto, se for responsável por sistemas que processam vídeo, deve partir do princípio de que está afetado até que se prove o contrário. As principais medidas de mitigação são:

  • Atualize o FFmpeg. A versão 8.1.2 do FFmpeg , lançada a 17 de junho de 2026, inclui uma correção para a vulnerabilidade CVE‑2026‑8461. Se a sua distribuição ou fornecedor disponibilizar uma versão atualizada do FFmpeg, instale-a em computadores, servidores e contentores.
  • Verifique se o MagicYUV está ativado e desative-o ou aplique correções, sempre que possível.
  • Reduza o processamento automático de vídeos não confiáveis. Verifique quais fornecedores de pré-visualização e geradores de miniaturas estão ativados, especialmente no caso de formatos raramente utilizados.

Por fim, vale a pena estar atento a falhas anormais em reprodutores multimédia, programas de criação de miniaturas ou servidores multimédia, especialmente após abrir ou descarregar um novo ficheiro de vídeo. Deve considerar as falhas repetidas ou a ausência de miniaturas como potenciais indicadores de conteúdo malicioso até que os sistemas sejam atualizados.

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

Produto
Lobo em pele de cordeiro

Tenha cuidado com os esquemas fraudulentos de renovação que se fazem passar pela Malwarebytes

junho 24, 2026

Os burlões estão a enviar avisos falsos de renovação de software, alegando que lhe foi cobrada uma assinatura. Alguns chegam mesmo a fazer-se passar Malwarebytes.

Fraudes
Um jovem sentou-se com a cabeça apoiada numa mão e segurando um telemóvel na outra.

Total a todos os seus dispositivos.» Os golpistas de sextorsão voltam a atacar

junho 24, 2026

Dizem que têm vídeos, malware e controlo total sobre os teus dispositivos. Eis como analisar um e-mail de sextorsão como um investigador de segurança, em vez de como uma vítima.

Notícias
Meta logótipo

A Meta suspende programa controverso de monitorização de funcionários após uma análise de segurança

junho 23, 2026

A Meta suspendeu o seu controverso programa de monitorização dos funcionários. Infelizmente, não foi a privacidade dos funcionários que levou à sua suspensão.

Adicionar como fonte preferencial no Google

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes