Dünyanın ən çox istifadə edilən media emal infrastrukturlarından biri olan FFmpeg-də kritik bir təhlükəsizlik zəifliyi aşkar edilib. Bildirilir ki, bu zəiflikdən istifadə etməklə sistemlər yalnız video faylları istifadə edərək təhlükəyə atıla bilər. Təhlükəsizlik tədqiqatçıları xəbərdarlıq edirlər ki, bəzi ssenarilərdə videonun açılmasına belə ehtiyac yoxdur. Belə ki, sadəcə faylı sistem tərəfindən skan etmək hücum üçün kifayət edə bilər.
Təhlükəsizlik şirkəti JFrog tərəfindən aşkar edilən və CVE-2026-8461 kimi izlənilən zəiflik FFmpeg-in MagicYUV itkisiz video kodekində yerləşir. 10 baldan 8.8 bal (CVSS) alan zəiflik, hücum edənlərə hədəf sistemdə zərərli kodu icra etməyə və cihazı idarə etməyə imkan verir. Problemi həll edən FFmpeg 8.1.2 versiyası buraxılıb.
FFmpeg, video və audio fayllarını emal etmək üçün ən çox istifadə edilən açıq mənbəli proqramlardan biridir. VLC kimi media pleyerlərindən tutmuş media serverlərinə, bulud xidmətlərinə və ağıllı televizorlara qədər çoxsaylı məhsul və xidmətlər bu infrastrukturdan istifadə edir. Buna görə də, bu zəiflik yalnız masaüstü istifadəçilərə təsir etmir. Jellyfin, Emby, Nextcloud, Immich və PhotoPrism kimi media platformaları, eləcə də NAS cihazları, ağıllı televizorlar və müxtəlif IoT məhsulları da risk altındadır.
Tədqiqatçılar bildirirlər ki, hücumçunun etməli olduğu tək şey hədəf sistemə xüsusi hazırlanmış video faylı çatdırmaqdır. Zəiflik fayl sistemə yükləndikdə və ya avtomatik olaraq skan edildikdə tetiklenebilir. Məsələn, media serverinin video kitabxanasını skan etməsi, bulud xidmətinin önizləmə yaratması və ya Linux fayl menecerinin kiçik bir şəkil yaratması hücum üçün kifayət edə bilər.
