Kritiek beveiligingslek in FFmpeg maakt remote code execution mogelijk

In dit artikel:

Beveiligingsonderzoekers van JFrog hebben een kritieke kwetsbaarheid in FFmpeg blootgelegd waarmee een aanvaller op afstand code kan uitvoeren via een speciaal gemaakt mediabestand. De fout zit in de MagicYUV-decoder van de veelgebruikte audio- en videobibliotheek en wordt geregistreerd als CVE-2026-8461. FFmpeg zit niet alleen in spelers als VLC, maar ook in mediaservers zoals Jellyfin, Plex en Emby, en in allerlei Linux-omgevingen en cloud-diensten.

Volgens JFrog is het risico extra groot bij bittorrent- en mediaservergebruik. In sommige opstellingen hoeft een slachtoffer het bestand niet eens echt te openen: alleen het downloaden of automatisch laten scannen van een malafide mediabestand kan al genoeg zijn om de aanval te starten. Vooral Jellyfin-gebruikers lopen gevaar, omdat die server gedownloade bestanden automatisch kan indexeren. Bij torrentclients die downloads direct in een mediabibliotheek plaatsen, kan dat zelfs leiden tot een zogeheten zero-click-aanval, waarbij nauwelijks of geen interactie nodig is.

De kwetsbaarheid is inmiddels opgelost in FFmpeg 8.1.2. Gebruikers van software die op FFmpeg leunt, krijgen naar verwachting via reguliere beveiligingsupdates ook een patch.