Bir Video Dosyasıyla Bilgisayarınıza Sızılabilir
Teknoloji Haberleri

Bir Video Dosyasıyla Bilgisayarınıza Sızılabilir

2 Görüntüleme coksosyal
Sadece bir video dosyasıyla bilgisayarınız ele geçirilebilir
Dünyanın en yaygın medya işleme altyapılarından biri olan FFmpeg’de önemli bir güvenlik açığı bulundu. Bu açıktan faydalanarak sadece video dosyalarıyla sistemlere sızılabildiği bildirilmektedir. Güvenlik uzmanları, bazı durumlarda videonun açılmasına dahi gerek olmadan, yalnızca dosyanın sistemde taranmasının yeterli olabileceği konusunda dikkat çekiyor.

Tek bir video dosyası yeterli olabiliyor

Güvenlik firması JFrog tarafından tespit edilen ve CVE-2026-8461 olarak kaydedilen açık, FFmpeg’in MagicYUV adlı kayıpsız video kodeği çözücüsünde mevcuttur. 10 üzerinden 8,8 CVSS puanı alan bu güvenlik açığı, saldırganların hedef sistem üzerinde zararlı kod çalıştırmalarına ve cihazın kontrolünü elde etmelerine imkân veriyor. Sorunun çözüldüğü FFmpeg 8.1.2 versiyonu yayımlandı.

FFmpeg, video ve ses dosyalarını işleme konusunda en popüler açık kaynak yazılımlarından biri olarak bilinir. VLC benzeri medya oynatıcılarından medya sunucularına, bulut servislerinden akıllı televizyonlara kadar birçok ürün ve hizmet FFmpeg altyapısını kullanmaktadır.

Bu nedenle, açık yalnızca masaüstü kullanıcılarını etkilemekle kalmıyor. Jellyfin, Emby, Nextcloud, Immich ve PhotoPrism gibi medya platformları, NAS cihazları, akıllı televizyonlar ve çeşitli IoT ürünleri de bu tehdide maruz kalıyor.

Sadece bir video dosyasıyla bilgisayarınız ele geçirilebilir
Araştırmacılar, saldırganın tek yapması gerekenin özel hazırlanmış bir video dosyasını hedef sisteme ulaştırmak olduğunu ifade ediyor. Dosya sisteme yüklendiğinde ya da otomatik olarak tarandığında açık devreye girebiliyor. Örneğin, bir medya sunucusunun video kütüphanesini taraması, bir bulut hizmetinin önizleme oluşturması ya da Linux dosya yöneticisinin küçük resim üretmesi saldırı için yeterli olabiliyor.

Bu açığa “PixelSmash” adı verilmiştir. Şirket, FFmpeg’in medya ekosisteminde yaygın kullanımı nedeniyle açığın potansiyel etkisinin oldukça büyük olduğunu vurgulamaktadır.

Popüler uygulamalarda test edildi

JFrog’un gerçekleştirdiği testler, açığın birçok yaygın uygulamada sistem çökmesine yol açtığını doğrulamaktadır. Bu uygulamalar arasında Kodi, mpv, OBS Studio, Jellyfin, Emby, Nextcloud, Immich, PhotoPrism ve ffmpegthumbnailer bulunmaktadır.

Araştırmacılar, Jellyfin 10.11.9 sürümünde uzaktan kod çalıştırmayı başardıklarını ve aynı şekilde bir Nextcloud kurulumunda video önizleme mekanizması aracılığıyla sistemin ele geçirildiğini göstermiştir.

Açığın teknik nedeni ne?

Sorunun kökeni, MagicYUV çözücüsündeki bir bellek yönetimi hatasındadır. Belirli koşullar altında video verileri işlenirken ayrılan belleğin dışına veri yazılabiliyor. Bu durum saldırganların bellekteki kritik alanları değiştirmesine ve sonuç olarak kendi kodlarını çalıştırmasına olanak tanıyor.

Araştırmacılar, örnek bir saldırı senaryosunda sistem üzerinde komut çalıştırmayı başardıklarını ve bunun cihazın tamamen ele geçirilmesiyle sonuçlandığını belirtmektedir.

Kullanıcılar ne yapmalı?

FFmpeg geliştiricileri sorunu çözen 8.1.2 sürümünü yayımlamıştır. Güvenlik araştırmacıları, FFmpeg kullanan uygulama ve sistemlerin mümkün olan en kısa sürede güncellenmesini önermektedir. MagicYUV desteğine ihtiyaç duymayan geliştiriciler için ise ilgili çözücüyü devre dışı bırakmak geçici bir önlem olarak önerilmektedir.

Benzer içerikler

Yeni HBM Yol Haritası Yayınlandı: Tüm Nesillerin İncelemesi

Yeni HBM Yol Haritası Yayınlandı: Tüm Nesillerin İncelemesi

coksosyal
Google Destekli Şirketten Cesur Hedef: Yapay Zeka ile Tüm Hastalıkları Tedavi Etmek

Google Destekli Şirketten Cesur Hedef: Yapay Zeka ile Tüm Hastalıkları Tedavi Etmek

coksosyal
Football Manager 26 Tanıtım Videosu Yayınlandı

Football Manager 26 Tanıtım Videosu Yayınlandı

coksosyal