PixelSmash, Kritische

PixelSmash: Kritische Lücke in FFmpeg gefährdet Millionen Nutzer

24.06.2026 - 10:49:43 | boerse-global.de

Die kritische Schwachstelle PixelSmash in FFmpeg gefährdet zahlreiche Mediaplayer und Cloud-Dienste. Ein Update auf Version 8.1.2 wird dringend empfohlen.

FFmpeg-Sicherheitslücke PixelSmash: Kritische Bedrohung für viele Dienste
PixelSmash - Ein stilisiertes, rot leuchtendes, verpixeltes Schloss-Symbol über verschwommenen Codezeilen, das eine Software-Sicherheitslücke darstellt. 24.06.2026 - Bild: über boerse-global.de

Eine schwerwiegende Sicherheitslücke in der Multimedia-Bibliothek FFmpeg setzt zahllose Mediaplayer, Server und Cloud-Dienste unter Druck. Der Fehler mit dem Namen „PixelSmash“ (CVE-2026-8461) steckt im MagicYUV-Decoder und ermöglicht Angreifern potenziell die vollständige Systemkontrolle. Der CVSS-Score von 8,8 stuft die Lücke als kritisch ein.

Anzeige

IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Gratis-E-Book zur IT-Sicherheit herunterladen

Wie der Angriff funktioniert

Die Schwachstelle basiert auf einem Heap-Overflow in der Komponente libavcodec. Ursache ist ein Rundungsfehler bei der Verarbeitung von Video-Frames, der durch inkonsistente Berechnung der Chroma-Höhen entsteht. Angreifer können manipulierte Mediendateien in den Formaten AVI, MKV oder MOV nutzen, um gezielt Speicherbereiche zu überschreiben.

Besonders heikel: Oft ist keine aktive Nutzerinteraktion nötig. In vielen Anwendungen reicht bereits die automatische Erzeugung eines Vorschaubildes, um den Schadcode zu aktivieren. Sicherheitsforscher von JFrog zeigten, dass eine präparierte Datei mit nur 50 KB Größe ausreicht, um die Lücke auszulösen.

Welche Software betroffen ist

FFmpeg dient als Standard-Framework für Audio- und Videoverarbeitung in unzähligen Programmen. Bestätigte Risiken bestehen unter anderem für:

  • Medien-Server: Jellyfin und Emby
  • Cloud- und Speicherlösungen: Nextcloud, Immich und PhotoPrism
  • Wiedergabe-Software: Kodi und mpv
  • Streaming-Tools: OBS Studio

Die Forscher wiesen eine Remote-Code-Ausführung (RCE) bereits an Jellyfin und Nextcloud nach – allerdings setzte das in einigen Fällen eine deaktivierte ASLR-Sicherheitsfunktion voraus. Auf Systemen wie Kodi oder OBS Studio führte der Exploit primär zu Programmabstürzen. Auch NAS-Geräte und Smart-TVs mit FFmpeg-Bibliotheken gelten als verwundbar.

Anzeige

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenlosen Security-Report sichern

Jetzt patchen

Die FFmpeg-Entwickler reagierten Mitte Juni 2026 mit Version 8.1.2, die den Fehler im MagicYUV-Decoder behebt. Erste Berichte über die Lücke waren bereits im Mai eingegangen.

Administratoren sollten umgehend auf die neueste FFmpeg-Version aktualisieren oder Sicherheits-Updates ihrer Software-Anbieter einspielen. Jellyfin hat bereits ein aktualisiertes Bundle bereitgestellt. Wer den MagicYUV-Decoder nicht zwingend benötigt, kann ihn als Alternative manuell deaktivieren. Für komplexe IT-Infrastrukturen empfehlen Experten den Einsatz von Software Bill of Materials (SBOM), um betroffene Abhängigkeiten zu identifizieren.

de | wissenschaft | 69617161 |