Le décodeur MagicYUV de la bibliothèque libavcodec de FFmpeg présente une faille de sécurité critique, identifiée sous la référence CVE-2026-... et surnommée PixelSmash. D'après les travaux de l'équipe de recherche de JFrog, cette vulnérabilité permet une exécution de code à distance (RCE) dans certaines conditions d'utilisation.

La faille réside dans une incohérence entre la méthode de calcul de la hauteur des plans chroma par l'allocateur d'images (get_buffer) et celle utilisée par le décodeur. Cette divergence provoque un dépassement de tampon (heap-buffer overflow) d'une ligne de pixels, ouvrant la voie à une corruption mémoire exploitable.

Un simple fichier vidéo de 50 kilo-octets peut déclencher l'attaque. Les chercheurs de JFrog sont parvenus à démontrer une exécution de code arbitraire à distance sur un serveur Jellyfin version 10.11.9. L'exploitation repose sur le scan automatique des bibliothèques médias : dès que le logiciel tente d'analyser un fichier piégé, la vulnérabilité s'active.

Score CVSS de 8,8

L'équipe de JFrog a assigné un score de 8,8 sur 10 à cette vulnérabilité, la qualifiant de critique. La cause racine est une erreur de synchronisation entre l'allocateur d'images (get_buffer) et le décodeur MagicYUV lorsque ce dernier calcule la hauteur des composantes de chrominance. La correction apportée par les développeurs de FFmpeg ajoute une validation des hauteurs fournies par l'allocateur avant leur utilisation dans le décodeur.

Un écosystème vaste touché

FFmpeg est une brique logicielle intégrée dans des centaines d'applications et de services, des plateformes de streaming aux outils de montage vidéo. JFrog qualifie cette faille de « très répandue » car le décodeur MagicYUV est activé par défaut dans les versions compilées en amont. Par conséquent, tout logiciel embarquant une version vulnérable de la bibliothèque FFmpeg devient potentiellement sensible à ce type d'attaque. JFrog précise avoir testé avec succès l'exploitation sur Jellyfin, un serveur multimédia open source très populaire.

Correctifs disponibles

Les développeurs de FFmpeg ont intégré un correctif dans la version 7.1.1 de la bibliothèque. Cette mise à jour corrige le décalage entre l'allocateur et le décodeur. Les administrateurs de services utilisant FFmpeg — qu'il s'agisse de Jellyfin, d'autres plateformes de streaming ou d'outils de transcodage — sont invités à mettre à jour leur installation vers cette version ou une version ultérieure.

Pas de confusion avec une précédente alerte

JFrog précise que cette vulnérabilité est distincte de celle référencée CVE-2026-27508 et corrigée dans la même version de FFmpeg, qui concernait un problème dans le décodeur H.264. PixelSmash affecte exclusivement le décodeur MagicYUV.

Mise à jour de l'article initial