a').click(); event.preventDefault();">Tam Boyutta Gör Dünyanın en yaygın medya işleme altyapılarından biri olan FFmpeg’de kritik bir güvenlik açığı tespit edildi. Bu açıktan yararlanılarak sadece video dosyaları üzerinden sistemlerin ele geçirilebildiği belirtiliyor. Güvenlik araştırmacıları bazı senaryolarda videonun açılmasına bile gerek kalmadan, yalnızca dosyanın sistem tarafından taranmasının saldırı için yeterli olabileceği konusunda uyarıyor. Tek bir video dosyası yeterli olabiliyor Güvenlik şirketi JFrog tarafından keşfedilen ve CVE-2026-8461 olarak takip edilen açık, FFmpeg'in MagicYUV adlı kayıpsız video kodeği çözücüsünde bulunuyor. 10 üzerinden 8,8 CVSS puanı alan güvenlik açığı, saldırganların hedef sistemde zararlı kod çalıştırmasına ve cihazın kontrolünü ele geçirmesine olanak sağlayabiliyor. Sorunun giderildiği FFmpeg 8.1.2 sürümü yayımlanmış durumda.
FFmpeg, video ve ses dosyalarının işlenmesinde kullanılan en yaygın açık kaynaklı yazılımlardan biri. VLC benzeri medya oynatıcılarından medya sunucularına, bulut servislerinden akıllı televizyonlara kadar çok sayıda ürün ve hizmet bu altyapıyı kullanıyor.
Bu nedenle açık yalnızca masaüstü kullanıcılarını etkilemiyor. Jellyfin, Emby, Nextcloud, Immich ve PhotoPrism gibi medya platformları, NAS cihazları, akıllı televizyonlar ve çeşitli IoT ürünleri de risk altında bulunuyor.
a').click(); event.preventDefault();">Tam Boyutta Gör Araştırmacılar, saldırganın tek yapması gereken şeyin özel olarak hazırlanmış bir video dosyasını hedef sisteme ulaştırmak olduğunu belirtiyor. Dosya sisteme yüklendiğinde veya otomatik olarak tarandığında açık tetiklenebiliyor. Örneğin bir medya sunucusunun video kütüphanesini taraması, bir bulut hizmetinin önizleme oluşturması ya da Linux dosya yöneticisinin küçük resim üretmesi saldırı için yeterli olabiliyor.
Araştırmacılar bu açığa "PixelSmash" adını verdi. Şirket, FFmpeg'in medya ekosisteminde son derece yaygın kullanılması nedeniyle açığın potansiyel etkisinin oldukça büyük olduğuna dikkat çekiyor.
JFrog tarafından gerçekleştirilen testlerde açığın çok sayıda yaygın uygulamada sistem çökmesine neden olduğu doğrulandı. Bunlar arasında Kodi, mpv, OBS Studio, Jellyfin, Emby, Nextcloud, Immich, PhotoPrism ve ffmpegthumbnailer bulunuyor.
Araştırmacılar ayrıca Jellyfin 10.11.9 sürümünde uzaktan kod çalıştırmayı başardıklarını açıkladı. Benzer şekilde bir Nextcloud kurulumunda da video önizleme mekanizması üzerinden sistemin ele geçirilebildiği gösterildi.
Sorunun kaynağında MagicYUV çözücüsündeki (decoder) bir bellek yönetimi hatası yer alıyor. Belirli koşullarda video verileri işlenirken ayrılan belleğin dışına veri yazılabiliyor. Bu durum saldırganların bellekteki kritik alanları değiştirmesine ve sonuç olarak kendi kodlarını çalıştırmasına imkan tanıyor.
Araştırmacılar, örnek bir saldırı senaryosunda sistem üzerinde komut çalıştırmayı başardıklarını ve bunun cihazın tamamen ele geçirilmesi anlamına geldiğini belirtiyor.
FFmpeg geliştiricileri sorunu gideren 8.1.2 sürümünü yayımladı. Güvenlik araştırmacıları, FFmpeg kullanan uygulama ve sistemlerin mümkün olan en kısa sürede güncellenmesini öneriyor. MagicYUV desteğine ihtiyaç duymayan geliştiriciler için ise ilgili decoderin devre dışı bırakılması geçici bir önlem olarak gösteriliyor.
Dünyanın ilk Linux akıllı gözlüğü
---
**İlgili Kaynaklar:**
İlgili SEO ve GEO eğitim platformu için [GEO eğitim](https://geoakademi.com) platformuna göz atabilirsiniz.
