{"id":1023795,"date":"2026-06-23T17:15:00","date_gmt":"2026-06-23T20:15:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/06\/23\/falha-grave-em-codec-de-video-permite-execucao-de-codigos-ocultos\/"},"modified":"2026-06-23T17:15:00","modified_gmt":"2026-06-23T20:15:00","slug":"falha-grave-em-codec-de-video-permite-execucao-de-codigos-ocultos","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2026\/06\/23\/falha-grave-em-codec-de-video-permite-execucao-de-codigos-ocultos\/","title":{"rendered":"Falha grave em codec de v\u00eddeo permite execu\u00e7\u00e3o de c\u00f3digos ocultos"},"content":{"rendered":"<p>Uma falha cr\u00edtica identificada na biblioteca FFmpeg, batizada de PixelSmash, permite a execu\u00e7\u00e3o de c\u00f3digo malicioso por meio de arquivos de v\u00eddeo especialmente criados. A vulnerabilidade, rastreada como CVE-2026-8461 com severidade 8,8, atua no decoder MagicYUV da libavcodec e pode ser explorada sem autentica\u00e7\u00e3o ou acesso pr\u00e9vio ao sistema. Diversos aplicativos que processam v\u00eddeo podem ser impactados.<\/p>\n<p>A JFrog, empresa de seguran\u00e7a respons\u00e1vel pela descoberta, confirmou que o problema atinge um conjunto amplo de ferramentas e plataformas. Entre os afetados est\u00e3o players como Kodi e mpv, servers de m\u00eddia como Jellyfin e Emby, solu\u00e7\u00f5es de armazenamento em nuvem, galerias de fotos e aplicativos de transmiss\u00e3o, incluindo OBS Studio. O alcance envolve sistemas operacionais variados, dada a onipresen\u00e7a do FFmpeg.<\/p>\n<p>O funcionamento da falha est\u00e1 ligado a uma inconsist\u00eancia na forma como o MagicYUV decoder gerencia fatias de imagem durante a decodifica\u00e7\u00e3o. Em termos simples, uma parte do c\u00f3digo reserva mem\u00f3ria para dados de imagem, enquanto outra escreve al\u00e9m desse espa\u00e7o, configurando uma condi\u00e7\u00e3o de heap out-of-bounds write que permite a execu\u00e7\u00e3o de comandos no dispositivo da v\u00edtima.<\/p>\n<p>Para explorar a vulnerabilidade, basta entregar um arquivo de v\u00eddeo malicioso. Um arquivo de apenas 50 KB em formatos como AVI, MKV ou MOV pode ser suficiente para ativar o ataque quando o aplicativo tenta processar o arquivo ou gerar uma miniatura. Em desktops, o ataque ocorre seja ao abrir o arquivo em um player ou ao navegar at\u00e9 a pasta que o cont\u00e9m; gerenciadores de thumbnail que utilizam ffmpegthumbnailer tamb\u00e9m ficam vulner\u00e1veis.<\/p>\n<p>A demonstra\u00e7\u00e3o da explora\u00e7\u00e3o ocorreu em ambientes que incluem Jellyfin, Kodi, mpv, OBS Studio, Nextcloud, Emby, Immich e PhotoPrism, segundo a JFrog. A empresa destacou ainda o uso remoto de c\u00f3digo no servidor de m\u00eddia Jellyfin durante a valida\u00e7\u00e3o da falha. N\u00e3o \u00e9 necess\u00e1ria senha, conta ou privil\u00e9gios especiais para que o exploit funcione.<\/p>\n<p>A corre\u00e7\u00e3o j\u00e1 est\u00e1 dispon\u00edvel. A equipe de FFmpeg lan\u00e7ou a vers\u00e3o 8.1.2 com o patch para o PixelSmash. Usu\u00e1rios e administradores devem atualizar os componentes afetados o quanto antes, especialmente em ambientes com servi\u00e7os de transcodifica\u00e7\u00e3o, streaming ou gera\u00e7\u00e3o autom\u00e1tica de miniaturas. A atualiza\u00e7\u00e3o busca mitigar a vulnerabilidade sem exigir altera\u00e7\u00f5es adicionais no fluxo de trabalho das aplica\u00e7\u00f5es.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Vulnerabilidade PixelSmash afeta a biblioteca FFmpeg, especialmente o decodificador MagicYUV da libavcodec, com CVE-2026-8461 e gravidade de 8,8\/10.<\/li>\n<li>Atacam praticamente qualquer aplicativo que usa FFmpeg para processar v\u00eddeo, incluindo Jellyfin, Emby, Kodi, mpv, OBS Studio, Nextcloud, Immich e PhotoPrism.<\/li>\n<li>O exploit permite execu\u00e7\u00e3o remota de c\u00f3digo sem autentica\u00e7\u00e3o, apenas ao abrir um arquivo de v\u00eddeo especialmente criado (AVI, MKV ou MOV) de cerca de 50 KB.<\/li>\n<li>Em desktops, o ataque pode ocorrer ao abrir o arquivo ou ao ser gerado uma miniatura; gerenciadores de arquivos que utilizam ffmpegthumbnailer tamb\u00e9m est\u00e3o vulner\u00e1veis.<\/li>\n<li>A corre\u00e7\u00e3o j\u00e1 est\u00e1 dispon\u00edvel na vers\u00e3o 8.1.2 do FFmpeg; usu\u00e1rios e administradores devem atualizar os sistemas que utilizam os aplicativos afetados.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":1023826,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Falha grave no FFmpeg permite execu\u00e7\u00e3o remota de c\u00f3digo via arquivo de v\u00eddeo, afetando players, servidores e thumbnails; corre\u00e7\u00e3o chega na vers\u00e3o 8.1.2","footnotes":""},"categories":[296,1],"tags":[84,104,100,189],"class_list":["post-1023795","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-acontecimentos-internacionais","tag-apps","tag-noticia","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/1023795","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=1023795"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/1023795\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/1023826"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=1023795"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=1023795"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=1023795"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}