FFmpeg-Bug: Falsches Video speichern reicht, um gehackt zu werden
Ein schwerwiegendes Sicherheitsproblem in der weit verbreiteten, offenen Multimedia-Software FFmpeg könnte es Angreifern ermöglichen, über manipulierte Videodateien Schadcode auf fremden Systemen auszuführen.
Entdeckt wurde die Sicherheitslücke von Forschern des IT-Sicherheitsunternehmens JFrog. Nach deren Angaben reicht die Verarbeitung einer einzigen manipulierten Mediendatei aus, um im schlimmsten Fall die vollständige Kontrolle über ein betroffenes System zu übernehmen. FFmpeg zählt zu den weltweit wichtigsten Open-Source-Projekten für die Verarbeitung von Audio- und Videodaten und ist in zahllose Anwendungen, Serverdiensten und vernetzten Geräten integriert, von Mediaplayern über Cloud-Dienste bis hin zu Smart-TVs und Netzwerkspeichern.
Für eine erfolgreiche Attacke ist häufig nicht einmal eine Interaktion des Nutzers erforderlich. So können Medienserver wie Jellyfin oder Emby, Cloud-Plattformen, Nextcloud-Installationen oder Linux-Dateimanager die schädliche Datei automatisch analysieren, um Vorschaubilder oder Metadaten zu erzeugen. Bereits dieser Vorgang kann die Schwachstelle auslösen.
Tests zeigten zudem Abstürze oder Angriffsvektoren bei zahlreichen populären Programmen, darunter Kodi, mpv, OBS Studio, Nextcloud, Immich und PhotoPrism. Auch NAS-Systeme, Smart-TVs und andere IoT-Geräte gelten als potenziell gefährdet.
Erschwerend kommt hinzu, dass Angriffe oft nahezu unsichtbar ablaufen. Nutzer erhalten in der Regel keine Warnmeldung, während Hinweise auf eine Kompromittierung häufig nur in Serverprotokollen zu finden sind. Experten warnen daher vor einer großen potenziellen Reichweite der Schwachstelle und empfehlen ein sofortiges Update aller betroffenen Systeme.
Siehe auch:
FFmpeg steckt in vielen Anwendungen
In manchen Fällen genügt es bereits, eine präparierte Datei auf einem System zu speichern, ohne sie jemals zu öffnen. Die Schwachstelle wurde unter der Kennung CVE-2026-8461 erfasst und mit einem hohen Risikowert von 8,8 von 10 bewertet. Die Entwickler FFmpegs haben mit Version 8.1.2 bereits ein Sicherheitsupdate veröffentlicht, das die Lücke schließt. Nutzer und Administratoren werden dringend aufgefordert, die Aktualisierung zeitnah einzuspielen. Alternativ kann der betroffene MagicYUV-Decoder deaktiviert werden, sofern er nicht benötigt wird.Entdeckt wurde die Sicherheitslücke von Forschern des IT-Sicherheitsunternehmens JFrog. Nach deren Angaben reicht die Verarbeitung einer einzigen manipulierten Mediendatei aus, um im schlimmsten Fall die vollständige Kontrolle über ein betroffenes System zu übernehmen. FFmpeg zählt zu den weltweit wichtigsten Open-Source-Projekten für die Verarbeitung von Audio- und Videodaten und ist in zahllose Anwendungen, Serverdiensten und vernetzten Geräten integriert, von Mediaplayern über Cloud-Dienste bis hin zu Smart-TVs und Netzwerkspeichern.
Für eine erfolgreiche Attacke ist häufig nicht einmal eine Interaktion des Nutzers erforderlich. So können Medienserver wie Jellyfin oder Emby, Cloud-Plattformen, Nextcloud-Installationen oder Linux-Dateimanager die schädliche Datei automatisch analysieren, um Vorschaubilder oder Metadaten zu erzeugen. Bereits dieser Vorgang kann die Schwachstelle auslösen.
Updates dringend nötig
Die Forscher tauften die Sicherheitslücke PixelSmash. Ursache ist ein Fehler im MagicYUV-Decoder, der bei bestimmten Videodaten Speicherbereiche außerhalb des vorgesehenen Puffers überschreibt. Dadurch können Angreifer gezielt Speicherinhalte manipulieren und letztlich eigenen Programmcode ausführen lassen. In einem Demonstrationsangriff gelang es den Forschern, auf einem Jellyfin-Server eine Befehlszeile zu starten und damit die vollständige Kontrolle über das System zu erlangen.Tests zeigten zudem Abstürze oder Angriffsvektoren bei zahlreichen populären Programmen, darunter Kodi, mpv, OBS Studio, Nextcloud, Immich und PhotoPrism. Auch NAS-Systeme, Smart-TVs und andere IoT-Geräte gelten als potenziell gefährdet.
Erschwerend kommt hinzu, dass Angriffe oft nahezu unsichtbar ablaufen. Nutzer erhalten in der Regel keine Warnmeldung, während Hinweise auf eine Kompromittierung häufig nur in Serverprotokollen zu finden sind. Experten warnen daher vor einer großen potenziellen Reichweite der Schwachstelle und empfehlen ein sofortiges Update aller betroffenen Systeme.
Zusammenfassung
- Schwere FFmpeg-Lücke ermöglicht Schadcodeausführung per Videodatei
- Forscher von JFrog entdeckten den Fehler unter der ID CVE-2026-8461
- MagicYUV-Decoder verursacht Pufferüberlauf und gefährdet Systeme oft
- Automatisierte Prozesse in Servern oder Apps lösen den Hack sofort aus
- Entwickler veröffentlichten Update 8.1.2 gegen die PixelSmash-Gefahr
Siehe auch:
Themen:
Beliebte Open-Source-Downloads
Videos zum Thema
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- WM-Streaming zum Sparpreis: Jetzt nur 4,99 Euro bei Waipu.tv
- Forscher finden Mittel gegen multiresistente Keime in Bodenbakterien
- IBM: So schrumpfen Chips unter die 1-Nanometer-Grenze
- Windows 11: Bluetooth-Bugs gefixt - Audio-Verbindungen viel stabiler
- FritzOS 8.25: Neue Firmware für 1 FritzRepeater, 1 Mesh Set steht bereit
- Prime Day: Bis zu 75% Rabatt auf Saugroboter - Das sind die Deals
- FFmpeg-Bug: Falsches Video speichern reicht, um gehackt zu werden
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen