11,7 тыс подписчиков

Скрытая атака через файл: выполнение кода в цепочке поставок FFmpeg

23 июня23 июн

4 мин

В декодере MagicYUV библиотеки FFmpeg выявлена критическая уязвимость CVE-2026-8461, позволяющая злоумышленникам добиться Remote Code Execution через специально подготовленные медиафайлы. Проблема получила оценку CVSS 8.8 и затрагивает широкий спектр приложений, использующих FFmpeg, включая медиапроцессоры и серверные решения, такие как Kodi, Jellyfin и Nextcloud. Опасность уязвимости заключается в том, что для её активации достаточно обработки вредоносно сформированного файла форматов AVI, MKV или MOV. В ряде случаев это приводит не только к сбоям приложений, но и к полному выполнению произвольного кода на атакуемой системе. Для эксплуатации уязвимости атакующему необходимо доставить целевой системе специально подготовленный медиафайл. Далее уязвимый компонент libavcodec из FFmpeg обрабатывает файл — и именно на этом этапе возникает ошибка. Уязвимость может проявиться в нескольких сценариях: Примечательно, что для атаки не требуются повышенные привилегии. Достаточно лишь первоначально

Оглавление

Критическая уязвимость в FFmpeg: CVE-2026-8461 открывает путь к Remote Code Execution
Как работает атака
Техническая причина: heap out-of-bounds write

Критическая уязвимость в FFmpeg: CVE-2026-8461 открывает путь к Remote Code Execution

В декодере MagicYUV библиотеки FFmpeg выявлена критическая уязвимость CVE-2026-8461, позволяющая злоумышленникам добиться Remote Code Execution через специально подготовленные медиафайлы. Проблема получила оценку CVSS 8.8 и затрагивает широкий спектр приложений, использующих FFmpeg, включая медиапроцессоры и серверные решения, такие как Kodi, Jellyfin и Nextcloud.

Опасность уязвимости заключается в том, что для её активации достаточно обработки вредоносно сформированного файла форматов AVI, MKV или MOV. В ряде случаев это приводит не только к сбоям приложений, но и к полному выполнению произвольного кода на атакуемой системе.

Как работает атака

Для эксплуатации уязвимости атакующему необходимо доставить целевой системе специально подготовленный медиафайл. Далее уязвимый компонент libavcodec из FFmpeg обрабатывает файл — и именно на этом этапе возникает ошибка.

Уязвимость может проявиться в нескольких сценариях:

при открытии вредоносного файла в desktop-приложении пользователем;
при загрузке файла на media-server, где включена автоматическая обработка;
при работе сервисов, автоматически сканирующих и индексирующих медиаконтент;
через torrent-загрузки, если файлы автоматически попадают в отслеживаемые каталоги.

Примечательно, что для атаки не требуются повышенные привилегии. Достаточно лишь первоначальной доставки файла, что делает эксплуатацию особенно опасной.

Техническая причина: heap out-of-bounds write

Корень проблемы связан с heap out-of-bounds write, то есть выходом за пределы кучи при записи. По данным отчета, ошибка возникла из-за рассогласования округления в коде обработки срезов декодера MagicYUV.

В частности, некорректная проверка высоты среза позволяет злоумышленнику манипулировать памятью буфера. Именно это создает условия как для аварийного завершения приложения, так и для более опасного сценария — Remote Code Execution.

Практические последствия: от сбоев до компрометации

Уязвимость уже рассматривается как фактор серьезного операционного риска. В отчете указывается, что успешные эксплойты были продемонстрированы, в том числе на платформе Jellyfin, где атакующему удалось получить права выполнения через обычные процедуры сканирования медиатеки.

Это особенно опасно для систем, где обработка файлов происходит автоматически и без немедленного уведомления администратора. В таких условиях инцидент может долго оставаться незамеченным.

«Системы, на которых работают постоянные службы FFmpeg, могут оставаться скомпрометированными без каких-либо признаков этого».

Подобный сценарий повышает риски и для cloud-инфраструктур, где эксплуатация может быть незаметной и относительно дешевой для атакующего.

Угроза цепочке поставок программного обеспечения

Особую тревогу вызывает то, что воздействие проблемы распространяется далеко за пределы самого FFmpeg. Поскольку libavcodec является ключевой зависимостью для множества проектов, уязвимость фактически превращается в проблему Supply Chain.

Многие разработчики не проводят глубокую проверку внутренних реализаций кодеков, полагаясь на надежность внешней библиотеки. В результате критическая ошибка может незаметно распространяться по экосистеме программных продуктов, использующих FFmpeg.

Новые поверхности атаки: media, AI и ML

Отдельное внимание в отчете уделяется системам AI/ML, которые обрабатывают видеовходы. Такие инфраструктуры также могут использовать libavcodec для анализа неподтвержденных данных, что расширяет потенциальную поверхность атаки.

Это означает, что подобные уязвимости могут представлять угрозу не только для классических media-сервисов, но и для новых вычислительных платформ, где обработка видео стала частью рабочих процессов.

Что делать организациям

Для снижения рисков системам, использующим FFmpeg, рекомендуется как можно скорее перейти на исправленные версии либо отключить уязвимый декодер MagicYUV.

обновить FFmpeg до версии с исправлением;
проверить, используется ли MagicYUV в продуктивной среде;
ограничить автоматическую обработку внешних медиафайлов;
проанализировать зависимости на предмет скрытых рисков в цепочке поставок;
усилить мониторинг сервисов, автоматически сканирующих медиаконтент.

Этот инцидент наглядно показывает, что уязвимости в зависимостях могут иметь последствия не менее серьезные, чем ошибки в собственном коде организации. В условиях повсеместного использования FFmpeg вопрос контроля за сторонними компонентами становится не просто рекомендацией, а необходимостью.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Скрытая атака через файл: выполнение кода в цепочке поставок FFmpeg".

Гаджеты и электроника

5,73 млн интересуются