Tek bir video dosyası yeterli olabiliyor
Güvenlik şirketi JFrog tarafından keşfedilen ve CVE-2026-8461 olarak takip edilen açık, FFmpeg'in MagicYUV adlı kayıpsız video kodeği çözücüsünde bulunuyor. 10 üzerinden 8,8 CVSS puanı alan güvenlik açığı, saldırganların hedef sistemde zararlı kod çalıştırmasına ve cihazın kontrolünü ele geçirmesine olanak sağlayabiliyor. Sorunun giderildiği FFmpeg 8.1.2 sürümü yayımlanmış durumda.
FFmpeg, video ve ses dosyalarının işlenmesinde kullanılan en yaygın açık kaynaklı yazılımlardan biri. VLC benzeri medya oynatıcılarından medya sunucularına, bulut servislerinden akıllı televizyonlara kadar çok sayıda ürün ve hizmet bu altyapıyı kullanıyor.
Bu nedenle açık yalnızca masaüstü kullanıcılarını etkilemiyor. Jellyfin, Emby, Nextcloud, Immich ve PhotoPrism gibi medya platformları, NAS cihazları, akıllı televizyonlar ve çeşitli IoT ürünleri de risk altında bulunuyor.
Araştırmacılar bu açığa "PixelSmash" adını verdi. Şirket, FFmpeg'in medya ekosisteminde son derece yaygın kullanılması nedeniyle açığın potansiyel etkisinin oldukça büyük olduğuna dikkat çekiyor.
Popüler uygulamalarda test edildi
JFrog tarafından gerçekleştirilen testlerde açığın çok sayıda yaygın uygulamada sistem çökmesine neden olduğu doğrulandı. Bunlar arasında Kodi, mpv, OBS Studio, Jellyfin, Emby, Nextcloud, Immich, PhotoPrism ve ffmpegthumbnailer bulunuyor.
Araştırmacılar ayrıca Jellyfin 10.11.9 sürümünde uzaktan kod çalıştırmayı başardıklarını açıkladı. Benzer şekilde bir Nextcloud kurulumunda da video önizleme mekanizması üzerinden sistemin ele geçirilebildiği gösterildi.
Açığın teknik nedeni ne?
Sorunun kaynağında MagicYUV çözücüsündeki (decoder) bir bellek yönetimi hatası yer alıyor. Belirli koşullarda video verileri işlenirken ayrılan belleğin dışına veri yazılabiliyor. Bu durum saldırganların bellekteki kritik alanları değiştirmesine ve sonuç olarak kendi kodlarını çalıştırmasına imkan tanıyor.
Araştırmacılar, örnek bir saldırı senaryosunda sistem üzerinde komut çalıştırmayı başardıklarını ve bunun cihazın tamamen ele geçirilmesi anlamına geldiğini belirtiyor.
Kullanıcılar ne yapmalı?
FFmpeg geliştiricileri sorunu gideren 8.1.2 sürümünü yayımladı. Güvenlik araştırmacıları, FFmpeg kullanan uygulama ve sistemlerin mümkün olan en kısa sürede güncellenmesini öneriyor. MagicYUV desteğine ihtiyaç duymayan geliştiriciler için ise ilgili decoderin devre dışı bırakılması geçici bir önlem olarak gösteriliyor.
