Codec de vídeo tem falha grave que permite execução de códigos ocultos

Uma falha crítica descoberta na biblioteca de código aberto FFmpeg coloca em risco centenas de aplicativos usados para reproduzir, armazenar ou transmitir vídeos. A vulnerabilidade permite que invasores executem código malicioso no dispositivo da vítima apenas por meio de um arquivo de vídeo especialmente criado, sem exigir autenticação ou qualquer acesso prévio ao sistema.

A vulnerabilidade foi identificada pela empresa de segurança JFrog e rastreada como CVE-2026-8461, com pontuação de 8.8 em 10 na escala de gravidade CVSS. O problema está dentro de um componente chamado MagicYUV decoder, parte da biblioteca libavcodec do FFmpeg.

O FFmpeg está presente em quase tudo que reproduz ou processa vídeo. Isso inclui players de vídeo como Kodi e mpv, servidores de mídia como Jellyfin e Emby, plataformas de armazenamento em nuvem como Nextcloud, aplicativos de galeria de fotos como Immich e PhotoPrism, e até o software de transmissão ao vivo OBS Studio.

O que é o FFmpeg?

O FFmpeg é uma biblioteca de código aberto que faz o trabalho pesado de decodificar vídeos. Quando você abre um arquivo de vídeo em qualquer aplicativo, é quase certo que o FFmpeg está operando nos bastidores, convertendo os dados do arquivo em imagens que aparecem na tela.

Por ser tão amplamente usado, uma falha nele não afeta apenas um programa. Afeta toda a cadeia de aplicativos que dependem dele, em todos os sistemas operacionais.

Como a falha funciona

O bug está na forma como o MagicYUV decoder trata fatias de imagem durante a decodificação. Existe uma inconsistência entre o modo como o alocador de memória e o decodificador calculam a altura do plano de cor chamado “chroma”.

Em termos simples, uma parte do código reserva uma certa quantidade de memória para armazenar os dados de imagem, mas outra parte escreve além desse espaço reservado. Isso é o que os pesquisadores chamam de heap out-of-bounds write, ou seja, uma escrita fora dos limites da memória alocada.

Ao explorar esse erro, um atacante consegue sobrescrever uma região específica da memória chamada AVBuffer struct, que fica logo depois dos dados de pixel de cada plano de imagem. Ao colocar um comando de sistema operacional nesse espaço, o atacante consegue executá-lo antes que o programa trave.

O ataque não precisa de senha nem de acesso especial

Para explorar a vulnerabilidade, o atacante só precisa entregar um arquivo de vídeo ao alvo. Não é necessário ter conta no sistema, senha ou qualquer tipo de acesso privilegiado. O arquivo malicioso pode ser um AVI, MKV ou MOV de apenas 50 KB. Quando o aplicativo tenta processar o arquivo, seja para reproduzir ou apenas para gerar uma miniatura de visualização, o código do atacante é executado.

No desktop, o ataque funciona quando o usuário abre o arquivo em um player ou simplesmente navega até a pasta que o contém. Gerenciadores de arquivos como os do GNOME, KDE e XFCE usam o ffmpegthumbnailer para gerar miniaturas automaticamente, e esse componente também é vulnerável.

Zero cliques via torrent

A JFrog descreve um cenário especialmente preocupante envolvendo clientes de torrent. Se a vítima configura o cliente para baixar arquivos diretamente em uma pasta monitorada por um servidor de mídia, o ataque acontece automaticamente assim que o download termina.

O servidor escaneia a pasta, processa o arquivo recém-chegado e executa o payload sem que o usuário precise abrir nada. Em servidores, a situação é parecida. Plataformas de chat, serviços de transcodificação em nuvem e servidores de mídia processam arquivos enviados de forma automática. Um arquivo enviado por upload já é suficiente para acionar o ataque.

Quem foi afetado e o que fazer

A JFrog confirmou a exploração bem-sucedida contra Kodi, mpv, ffmpegthumbnailer, Jellyfin, Emby, Nextcloud, Immich, PhotoPrism e OBS Studio. A empresa demonstrou execução remota de código no Jellyfin.

A correção já está disponível. A versão 8.1.2 do FFmpeg inclui a correção para o PixelSmash. Usuários e administradores de sistemas que utilizam qualquer um dos aplicativos afetados devem atualizar assim que possível.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.