Ошибки, Новости

Уязвимость PixelSmash превращает видеофайлы в инструменты для атак

Автор: Питер Арнтц | 24 июня 2026 г.
PixelSmash
Добавить в качестве предпочтительного источника в Google

Недавно обнаруженная уязвимость в декодере MagicYUV библиотеки FFmpeg может превратить небольшой видеофайл с некорректной структурой в точку опоры для злоумышленников.

Исследователи обнаружили уязвимость PixelSmash — критическую уязвимость, зарегистрированную под номером CVE-2026-8461, в видеодекодере MagicYUV библиотеки FFmpeg, рейтинг CVSS которой составляет 8,8.

Создав специально сформированный файл в формате AVI, MKV или MOV, злоумышленник может вызвать сбой или, возможно, выполнить код на любой системе, которая пытается сгенерировать миниатюру, извлечь метаданные или воспроизвести файл с помощью уязвимой версии FFmpeg.

Что такое FFmpeg и это всерьёз?

FFmpeg — это набор инструментов с открытым исходным кодом для записи, конвертации и потоковой передачи аудио и видео, а его библиотека libavcodec реализует сотни аудио- и видеодекодеров.

Одним из них является MagicYUV — кодек без потерь, широко используемый в области видеомонтажа. Недавно обнаруженная уязвимость в декодере MagicYUV библиотеки FFmpeg может превратить крошечный видеофайл с некорректной структурой в точку опоры для злоумышленников.

Исследователи обнаружили уязвимость PixelSmash — критическую уязвимость, зарегистрированную под номером CVE-2026-8461, в видеодекодере MagicYUV библиотеки FFmpeg, рейтинг CVSS которой составляет 8,8.

Создав специально сформированный файл в формате AVI, MKV или MOV, злоумышленник может вызвать сбой или, возможно, выполнить код на любой системе, которая пытается сгенерировать миниатюру, извлечь метаданные или воспроизвести файл с помощью уязвимой версии FFmpeg.

Что такое FFmpeg и это всерьёз?

FFmpeg — это набор инструментов с открытым исходным кодом для записи, конвертации и потоковой передачи аудио и видео, а его библиотека libavcodec реализует сотни аудио- и видеодекодеров.

Одним из них является MagicYUV — кодек без потерь, широко используемый в области видеомонтажа. Исследователи обнаружили, что он был включен по умолчанию в исходном коде FFmpeg и во всех протестированных ими дистрибутивах Linux вплоть до версии FFmpeg 9.0.

Последствия этого гораздо серьезнее, чем вы можете себе представить. Если вы используете что-либо, связанное с видео — от рабочего стола Linux до сервера Jellyfin или Nextcloud, или даже модели искусственного интеллекта, обрабатывающей видеоролики, — то, скорее всего, в основе вашей системы лежит FFmpeg.

Трудно точно определить, сколько систем затронуто этой проблемой, но полезно знать следующее:

  • Десятки миллионов систем Linux используют ffmpegthumbnailer и система libavcodec в случае миниатюр изображений, то есть «простое просмотр папки» может вызвать эту ошибку, если в ней присутствует вредоносный файл.
  • Jellyfin и Nextcloud — две из самых популярных в мире платформ для хранения мультимедиа и файлов с самостоятельным хостингом — имеют по меньшей мере десятки тысяч активных серверов, доступных через Интернет. Практически все серверы, на которых не было обновлено FFmpeg или не было отключено MagicYUV, уязвимы для атак типа «отказ в обслуживании» (DoS), а в некоторых конфигурациях — и для целенаправленных атак с удаленным выполнением кода (RCE).
  • Значительная часть сетевых накопителей (NAS) и платформ «умных» телевизоров использует FFmpeg для предварительного просмотра и создания миниатюр. Эти устройства продаются миллионными тиражами.

Самое тревожное в уязвимости PixelSmash — то, как мало нужно для её срабатывания. Достаточно приложения, которое использует FFmpeg для обработки недоверенных мультимедийных файлов и в которое вкомпилирован декодер MagicYUV.

PixelSmash — наглядный пример более общей проблемы в экосистеме открытого исходного кода: ошибка в глубинной зависимости, которая незаметно распространяется повсюду.

Как защитить себя

Большинству домашних пользователей не стоит беспокоиться об этой уязвимости. Её необходимо устранить на верхних уровнях. Пользователям уязвимых дистрибутивов Linux следует следить за обновлениями FFmpeg или обновлениями безопасности, выпускаемыми их дистрибутивом.

Однако если вы отвечаете за системы, работающие с видео, вам следует исходить из того, что вы подвержены этой уязвимости, пока не докажете обратное. Основные меры по снижению риска включают:

  • Обновите FFmpeg. Версия FFmpeg 8.1.2, выпущенная 17 июня 2026 года, содержит исправление уязвимости CVE‑2026‑8461. Если ваш дистрибутив или поставщик предоставляет обновленную версию FFmpeg, установите её на всех настольных компьютерах, серверах и в контейнерах.
  • Проверьте, включена ли функция MagicYUV, и отключите её или, по возможности, установите исправления.
  • Ограничьте автоматическую обработку недоверенных видеофайлов. Проверьте, какие поставщики услуг предварительного просмотра и программы для создания миниатюр включены, особенно для редко используемых форматов.

Наконец, следует обращать внимание на непредвиденные сбои в работе медиаплееров, программ для создания миниатюр или медиасерверов, особенно после открытия или загрузки нового видеофайла. Пока системы не будут обновлены, к повторяющимся сбоям или отсутствию миниатюр следует относиться как к потенциальным признакам наличия вредоносного контента.

Мы не просто сообщаем об угрозах - мы их устраняем

Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.

Последствия этого гораздо серьезнее, чем вы можете себе представить. Если вы используете что-либо, связанное с видео — от рабочего стола Linux до сервера Jellyfin или Nextcloud, или даже модели искусственного интеллекта, обрабатывающей видеоролики, — то, скорее всего, в основе вашей системы лежит FFmpeg.

Трудно точно определить, сколько систем затронуто этой проблемой, но полезно знать следующее:

  • Десятки миллионов систем Linux используют ffmpegthumbnailer и система libavcodec в случае миниатюр изображений, то есть «простое просмотр папки» может вызвать эту ошибку, если в ней присутствует вредоносный файл.
  • Jellyfin и Nextcloud — две из самых популярных в мире платформ для хранения мультимедиа и файлов с самостоятельным хостингом — имеют по меньшей мере десятки тысяч активных серверов, доступных через Интернет. Практически все серверы, на которых не было обновлено FFmpeg или не было отключено MagicYUV, уязвимы для атак типа «отказ в обслуживании» (DoS), а в некоторых конфигурациях — и для целенаправленных атак с удаленным выполнением кода (RCE).
  • Значительная часть сетевых накопителей (NAS) и платформ «умных» телевизоров использует FFmpeg для предварительного просмотра и создания миниатюр. Эти устройства продаются миллионными тиражами.

Самое тревожное в уязвимости PixelSmash — то, как мало нужно для её срабатывания. Достаточно приложения, которое использует FFmpeg для обработки недоверенных мультимедийных файлов и в которое вкомпилирован декодер MagicYUV.

PixelSmash — наглядный пример более общей проблемы в экосистеме открытого исходного кода: ошибка в глубинной зависимости, которая незаметно распространяется повсюду.

Как защитить себя

Большинству домашних пользователей не стоит беспокоиться об этой уязвимости. Её необходимо устранить на верхних уровнях. Пользователям уязвимых дистрибутивов Linux следует следить за обновлениями FFmpeg или обновлениями безопасности, выпускаемыми их дистрибутивом.

Однако если вы отвечаете за системы, работающие с видео, вам следует исходить из того, что вы подвержены этой уязвимости, пока не докажете обратное. Основные меры по снижению риска включают:

  • Обновите FFmpeg. Версия FFmpeg 8.1.2, выпущенная 17 июня 2026 года, содержит исправление уязвимости CVE‑2026‑8461. Если ваш дистрибутив или поставщик предоставляет обновленную версию FFmpeg, установите её на всех настольных компьютерах, серверах и в контейнерах.
  • Проверьте, включена ли функция MagicYUV, и отключите её или, по возможности, установите исправления.
  • Ограничьте автоматическую обработку недоверенных видеофайлов. Проверьте, какие поставщики услуг предварительного просмотра и программы для создания миниатюр включены, особенно для редко используемых форматов.

Наконец, следует обращать внимание на непредвиденные сбои в работе медиаплееров, программ для создания миниатюр или медиасерверов, особенно после открытия или загрузки нового видеофайла. Пока системы не будут обновлены, к повторяющимся сбоям или отсутствию миниатюр следует относиться как к потенциальным признакам наличия вредоносного контента.

Мы не просто сообщаем об угрозах - мы их устраняем

Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.

Об авторе

Питер Арнтц

Питер Арнтц

Исследователь в области вредоносного ПО

12 лет подряд был MVP Microsoft в области потребительской безопасности. Владеет четырьмя языками. Пахнет богатым красным деревом и книгами в кожаных переплетах.

ПОСЛЕДНИЕ СТАТЬИ

Продукт
Волк в овечьей шкуре

Остерегайтесь мошенников, предлагающих продлить подписку и выдающих себя за Malwarebytes

Июнь 24, 2026

Мошенники рассылают поддельные уведомления о продлении лицензии на программное обеспечение, в которых утверждается, что с вас списали плату за подписку. Некоторые из них даже выдают себя за Malwarebytes.

Аферы
Молодой человек сидел, положив голову на одну руку и держа в другой телефон.

Total ко всем вашим устройствам». Мошенники, занимающиеся сексторцией, снова наносят удар

Июнь 24, 2026

Они утверждают, что у них есть видеозаписи, вредоносное ПО и полный контроль над вашими устройствами. Вот как прочитать письмо с угрозой сексуального шантажа глазами специалиста по кибербезопасности, а не жертвы.

Новости
Мета-логотип

Meta приостановила реализацию вызвавшей споры программы отслеживания сотрудников после проверки безопасности

Июнь 23, 2026

Компания Meta приостановила свою вызвавшую споры программу отслеживания сотрудников. К сожалению, причиной этого стало не стремление защитить конфиденциальность сотрудников.

Добавить в качестве предпочтительного источника в Google

Сопутствующие статьи

Значок вкладчика

Вкладчики

Значок центра угроз

Центр защиты от угроз

Значок подкастов

Подкаст

Значок глоссария

Глоссарий

Значок мошенничества

Аферы