Varnostni raziskovalci so razkrili resno ranljivost v odprtokodnem ogrodju FFmpeg, ki so jo poimenovali PixelSmash. Gre za napako v široko uporabljenem video dekoderju, ki prizadene številne popularne medijske platforme in aplikacije, vključno z Jellyfinom, Kodijem, Embyjem, Nextcloudom, PhotoPrismom in OBS Studiom.
Ranljivost je bila uradno evidentirana pod oznako CVE-2026-XXXX (CVE številka bo posodobljena ob uradni potrditvi) in se nahaja v jedru FFmpegove implementacije dekodiranja video podatkov. Napadalec, ki uspe prisiliti prizadeto aplikacijo k obdelavi posebej oblikovanega video posnetka, lahko v določenih pogojih doseže oddaljeno izvajanje poljubne kode (Remote Code Execution – RCE) na strežnikih Jellyfin. Pri ostalih prizadetih aplikacijah je posledica praviloma zavrnitev storitve (Denial-of-Service – DoS), ki povzroči zrušitev ali nedosegljivost aplikacije.
Posebno zaskrbljujoče je dejstvo, da je FFmpeg de facto standard za obdelavo multimedijskih vsebin in je vgrajen v na tisoče aplikacij po vsem svetu. Vsaka ranljivost v tem ogrodju ima potencialno velik doseg in vpliva na izjemno pestro ekosistemsko okolje – od domačih medijskih centrov do produkcijskih streamingovih platform in samogostiteljskih storitev v oblaku.
Prizadete so vse različice FFmpeg pred uradno zakrpano izdajo. Razvijalci FFmpeg so ranljivost odpravili v najnovejši posodobitvi, zato je takojšnja nadgradnja na najnovejšo različico ključnega pomena. Skrbniki strežnikov Jellyfin, Nextcloud in podobnih samogostiteljskih platform so še posebej pozvani k hitremu ukrepanju, saj so pri teh sistemih tveganja za RCE največja.
Za zmanjšanje tveganja strokovnjaki priporočajo naslednje ukrepe: nemudoma posodobite FFmpeg na zadnjo razpoložljivo različico, preverite, ali vaše aplikacije Kodi, Emby, OBS Studio, PhotoPrism ali Nextcloud uporabljajo vgrajeno kopijo FFmpeg in ali so te aplikacije že izdale posodobljene pakete. Prav tako je priporočljivo omejiti dostop do medijskih strežnikov zgolj na zaupanja vredne vire ter preprečiti nalaganje in obdelavo video datotek iz neznanih ali nezaupljivih virov.
Incident še enkrat poudarja pomen rednega upravljanja s posodobitvami programske opreme v odprtokodnih ekosistemih, kjer ena sama napaka v temeljni knjižnici lahko hkrati ogrozi ogromno število aplikacij in storitev, ki na njej temeljijo.
Vir: https://www.bleepingcomputer.com/news/security/ffmpeg-fixes-pixelsmash-flaw-in-widely-used-video-decoder/
Originalna objava: 2026-06-22
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.