B
今週中
FFmpegのMagicYUVデコーダーに、ヒープ境界外書き込みの脆弱性「PixelSmash (CVE-2026-8461)」
📌 一言でいうと
FFmpegのMagicYUVデコーダーに、ヒープ境界外書き込みの脆弱性「PixelSmash (CVE-2026-8461)」が発見されました。この脆弱性は、悪意のあるAVI、MKV、MOV形式のビデオファイルを処理することで、リモートコード実行(RCE)やサービス拒否(DoS)を引き起こす可能性があります。Jellyfin、Kodi、Emby、Nextcloud、PhotoPrism、OBS Studioなどのlibavcodecを利用するアプリケーションが影響を受けます。
🔍該当判定
- Jellyfin, Kodi, Emby, Nextcloud, PhotoPrism, OBS Studio のいずれかを社内で利用している
- FFmpeg(またはlibavcodec)を組み込んだ自社開発アプリやツールを運用している
- 外部から送られてきた AVI, MKV, MOV 形式の動画ファイルをサーバーやPCで再生・処理する運用がある
- 動画変換やデコードを行うサーバーを構築・管理している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
FFmpegおよびlibavcodecを利用しているアプリケーションを最新バージョンにアップデートしてください。特にサーバーとして運用しているJellyfin等の管理者は、速やかなパッチ適用を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】FFmpeg MagicYUVデコーダーの脆弱性 (CVE-2026-8461) 対応について
お疲れさまです。FFmpegのビデオデコーダーにおける脆弱性に関する情報共有です。
■ 概要
FFmpegのMagicYUVデコーダーにヒープ境界外書き込みの脆弱性(PixelSmash / CVE-2026-8461)が確認されました。CVSSスコアは8.8(高)であり、悪意のあるビデオファイルを処理させることで、リモートコード実行(RCE)やサービス拒否(DoS)を誘発される恐れがあります。
■ 影響範囲
- FFmpeg (libavcodec) を利用するアプリケーション
- 具体的な例: Jellyfin, Kodi, Emby, Nextcloud, PhotoPrism, OBS Studio 等
■ 対応手順
1. 自社環境で利用しているビデオ処理ソフトおよびサーバーのFFmpeg/libavcodecバージョンを確認してください。
2. 修正済みの最新バージョンへアップデートを適用してください。
■ 参考情報
- CVE-2026-8461
対応優先度: 高
対応期限: 速やかに
お疲れさまです。FFmpegのビデオデコーダーにおける脆弱性に関する情報共有です。
■ 概要
FFmpegのMagicYUVデコーダーにヒープ境界外書き込みの脆弱性(PixelSmash / CVE-2026-8461)が確認されました。CVSSスコアは8.8(高)であり、悪意のあるビデオファイルを処理させることで、リモートコード実行(RCE)やサービス拒否(DoS)を誘発される恐れがあります。
■ 影響範囲
- FFmpeg (libavcodec) を利用するアプリケーション
- 具体的な例: Jellyfin, Kodi, Emby, Nextcloud, PhotoPrism, OBS Studio 等
■ 対応手順
1. 自社環境で利用しているビデオ処理ソフトおよびサーバーのFFmpeg/libavcodecバージョンを確認してください。
2. 修正済みの最新バージョンへアップデートを適用してください。
■ 参考情報
- CVE-2026-8461
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] FFmpeg MagicYUV Decoder Vulnerability (CVE-2026-8461)
Dear Team,
We are sharing information regarding a vulnerability discovered in the FFmpeg video decoder.
■ Overview
A heap out-of-bounds write vulnerability, dubbed 'PixelSmash' (CVE-2026-8461), has been identified in the MagicYUV decoder of FFmpeg. With a CVSS score of 8.8, this flaw can be exploited via malicious AVI, MKV, or MOV files to achieve remote code execution (RCE) or cause a denial-of-service (DoS) condition.
■ Scope
- Applications utilizing FFmpeg's libavcodec library.
- Affected examples: Jellyfin, Kodi, Emby, Nextcloud, PhotoPrism, OBS Studio, etc.
■ Mitigation Steps
1. Identify all instances of video processing software and servers utilizing FFmpeg/libavcodec in your environment.
2. Update the affected software to the latest patched version immediately.
■ Reference
- CVE-2026-8461
Priority: High
Deadline: Immediate
Dear Team,
We are sharing information regarding a vulnerability discovered in the FFmpeg video decoder.
■ Overview
A heap out-of-bounds write vulnerability, dubbed 'PixelSmash' (CVE-2026-8461), has been identified in the MagicYUV decoder of FFmpeg. With a CVSS score of 8.8, this flaw can be exploited via malicious AVI, MKV, or MOV files to achieve remote code execution (RCE) or cause a denial-of-service (DoS) condition.
■ Scope
- Applications utilizing FFmpeg's libavcodec library.
- Affected examples: Jellyfin, Kodi, Emby, Nextcloud, PhotoPrism, OBS Studio, etc.
■ Mitigation Steps
1. Identify all instances of video processing software and servers utilizing FFmpeg/libavcodec in your environment.
2. Update the affected software to the latest patched version immediately.
■ Reference
- CVE-2026-8461
Priority: High
Deadline: Immediate