[TLP:CLEAR] FFmpeg opravuje vysoko závažnú zraniteľnosť
FFmpeg (multimedia framework používaný populárnymi aplikáciami, ako VLC Media Player a OBS Studio) vo verzii 9.0 opravuje vysoko závažnú zraniteľnosť v dekodéri MagicYUV. Debian vydal opravu pre trixie vo verzii 7:7.1.5-0+deb13u1 a pre forky/sid vo verzii 7:8.1.2-2 [1]. Či build obsahuje zraniteľný dekodér, je možné overiť príkazom "ffmpeg -decoders 2>/dev/null | grep magicyuv" (zraniteľný build vypíše "VFS..D magicyuv"). Ak aktualizácia nie je hneď možná, dá sa zraniteľný dekodér vypnúť pri builde "--disable-decoder=magicyuv" [2].
Neautentizovanému vzdialenému útočníkovi je prostredníctvom špeciálne vytvoreného mediálneho súboru v dôsledku zápisu za hranice alokovanej pamäte na halde v dekodéri MagicYUV umožnené spôsobiť DoS útok alebo dosiahnuť spustenie ľubovoľného kódu. Na zneužitie stačí, aby aplikácia využívajúca FFmpeg daný súbor spracovala, napríklad pri jeho otvorení, nahraní na server alebo automatickom vygenerovaní náhľadu [1][2].
Zraniteľnosť sa nachádza v produkte FFmpeg vo verziách <9.0.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2026-8461 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 18. 6. 2026.
Odkazy
Za CESNET-CERTS Henrieta Paločková dňa 25. 6. 2026.
