Uma falha crítica descoberta na biblioteca de código aberto FFmpeg coloca em risco centenas de aplicativos usados para reproduzir, armazenar ou transmitir vídeos. A vulnerabilidade permite que invasores executem código malicioso no dispositivo da vítima apenas por meio de um arquivo de vídeo especialmente criado, sem exigir autenticação ou qualquer acesso prévio ao sistema.A vulnerabilidade foi identificada pela empresa de segurança JFrog e rastreada como CVE-2026-8461, com pontuação de 8.8 em 10 na escala de gravidade CVSS. O problema está dentro de um componente chamado MagicYUV decoder, parte da biblioteca libavcodec do FFmpeg.O FFmpeg está presente em quase tudo que reproduz ou processa vídeo. Isso inclui players de vídeo como Kodi e mpv, servidores de mídia como Jellyfin e Emby, plataformas de armazenamento em nuvem como Nextcloud, aplicativos de galeria de fotos como Immich e PhotoPrism, e até o software de transmissão ao vivo OBS Studio.O que é o FFmpeg?O FFmpeg é uma biblioteca de código aberto que faz o trabalho pesado de decodificar vídeos. Quando você abre um arquivo de vídeo em qualquer aplicativo, é quase certo que o FFmpeg está operando nos bastidores, convertendo os dados do arquivo em imagens que aparecem na tela.Por ser tão amplamente usado, uma falha nele não afeta apenas um programa. Afeta toda a cadeia de aplicativos que dependem dele, em todos os sistemas operacionais.O FFmpeg é uma biblioteca de código aberto usada para processar vídeos em praticamente todos os sistemas operacionais e plataformas de mídia. A falha PixelSmash afeta diretamente a libavcodec, um dos componentes centrais do projeto.Como a falha funcionaO bug está na forma como o MagicYUV decoder trata fatias de imagem durante a decodificação. Existe uma inconsistência entre o modo como o alocador de memória e o decodificador calculam a altura do plano de cor chamado “chroma”.Em termos simples, uma parte do código reserva uma certa quantidade de memória para armazenar os dados de imagem, mas outra parte escreve além desse espaço reservado. Isso é o que os pesquisadores chamam de heap out-of-bounds write, ou seja, uma escrita fora dos limites da memória alocada.A vulnerabilidade CVE-2026-8461 está no MagicYUV decoder, parte da biblioteca libavcodec do FFmpeg. O erro ocorre quando o código escreve dados além do espaço de memória reservado, abrindo caminho para a execução de comandos maliciosos.Ao explorar esse erro, um atacante consegue sobrescrever uma região específica da memória chamada AVBuffer struct, que fica logo depois dos dados de pixel de cada plano de imagem. Ao colocar um comando de sistema operacional nesse espaço, o atacante consegue executá-lo antes que o programa trave.O ataque não precisa de senha nem de acesso especialPara explorar a vulnerabilidade, o atacante só precisa entregar um arquivo de vídeo ao alvo. Não é necessário ter conta no sistema, senha ou qualquer tipo de acesso privilegiado. O arquivo malicioso pode ser um AVI, MKV ou MOV de apenas 50 KB. Quando o aplicativo tenta processar o arquivo, seja para reproduzir ou apenas para gerar uma miniatura de visualização, o código do atacante é executado.No desktop, o ataque funciona quando o usuário abre o arquivo em um player ou simplesmente navega até a pasta que o contém. Gerenciadores de arquivos como os do GNOME, KDE e XFCE usam o ffmpegthumbnailer para gerar miniaturas automaticamente, e esse componente também é vulnerável.Pesquisadores da JFrog confirmaram a exploração bem-sucedida do PixelSmash contra aplicativos amplamente usados, incluindo Jellyfin, Kodi, mpv, OBS Studio, Nextcloud e Emby, com demonstração de execução remota de código no servidor de mídia Jellyfin.Zero cliques via torrentA JFrog descreve um cenário especialmente preocupante envolvendo clientes de torrent. Se a vítima configura o cliente para baixar arquivos diretamente em uma pasta monitorada por um servidor de mídia, o ataque acontece automaticamente assim que o download termina.O servidor escaneia a pasta, processa o arquivo recém-chegado e executa o payload sem que o usuário precise abrir nada. Em servidores, a situação é parecida. Plataformas de chat, serviços de transcodificação em nuvem e servidores de mídia processam arquivos enviados de forma automática. Um arquivo enviado por upload já é suficiente para acionar o ataque.Quem foi afetado e o que fazerA JFrog confirmou a exploração bem-sucedida contra Kodi, mpv, ffmpegthumbnailer, Jellyfin, Emby, Nextcloud, Immich, PhotoPrism e OBS Studio. A empresa demonstrou execução remota de código no Jellyfin.A falha não exige senha, conta ou qualquer acesso especial ao sistema alvo. Um arquivo de vídeo de 50 KB enviado por upload ou baixado via torrent já é suficiente para acionar o ataque em servidores e desktops vulneráveis.A correção já está disponível. A versão 8.1.2 do FFmpeg inclui a correção para o PixelSmash. Usuários e administradores de sistemas que utilizam qualquer um dos aplicativos afetados devem atualizar assim que possível.Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.