Een kritieke kwetsbaarheid in het zeer veelgebruikte 'multimedia framework' FFmpeg maakt remote code execution mogelijk als er een speciaal geprepareerd mediabestand wordt verwerkt. In het geval van bittorrent is zelfs een zero-click-aanval mogelijk, waarbij er geen directe interactie van het slachtoffer is vereist, zo meldt cybersecuritybedrijf JFrog. Vorige week verscheen een update voor FFmpeg waarin de kwetsbaarheid wordt verholpen. Gisteren zijn de technische details van het probleem openbaar gemaakt.
FFmpeg is software voor het verwerken van mediabestanden, zoals video en audio. De libraries van FFmpeg zijn in allerlei programma's aanwezig. Het gaat bijvoorbeeld om mediaspelers zoals VLC, maar ook zelf gehoste mediaservers (Jellyfin, Plex en Emby), 'cloud transcoding pipelines' (AWS MediaConvert en Cloudflare Stream) en Linux-omgevingen (GNOME, KDE en XFCE). De libavcodec library van FFmpeg bevat decoders voor honderden video- en audiocodecs.
Eén van de decoders, MagicYUV, bevat een heap buffer overflow. Die kan ontstaan bij het verwerken van speciaal geprepareerde mediabestanden. Om gebruikers aan te vallen zou een aanvaller slachtoffers moeten verleiden tot het openen of downloaden van een speciaal geprepareerd mediabestand. Alleen het downloaden van het malafide bestand kan al voldoende zijn, afhankelijk van de omgeving waarin dit gebeurt. In het geval van de Jellyfin-mediaserver zal die gedownloade bestanden automatisch scannen, wat al voldoende is om het lek te misbruiken.
JFrog stelt dat gebruikers van bittorrent helemaal moeten oppassen, omdat misbruik nauwelijks gebruikersinteractie vereist. Alleen het aanklikken van een te downloaden bestand kan voldoende zijn. Volgens de onderzoekers hebben veel Jellyfin-gebruikers hun torrent-client zo ingesteld dat die bestanden automatisch in de media library-map van Jellyfin downloadt. Zodra het bestand is gedownload en door Jellyfin gescand is remote code execution mogelijk. De kwetsbaarheid (CVE-2026-8461) is verholpen in FFmpeg 8.1.2. Software die van FFmpeg gebruikmaakt zal waarschijnlijk zelf met beveiligingsupdates komen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior Privacy Officer
Kunstmatige intelligentie, toenemende digitalisering en groeiende maatschappelijke verwachtingen rondom privacy en gegevensbescherming maken jouw vakgebied dynamischer en relevanter dan ooit. Als senior Privacy Officer maak je impact door het versterken, bewaken en verder professionaliseren van privacy binnen de provincie Noord-Holland.
