CVE-2026-8461 (PixelSmash): falha crítica no FFmpeg transforma arquivos de mídia em vetores de ataque RCE

<p><strong>CVE-2026-8461 (PixelSmash)</strong> é uma vulnerabilidade heap out-of-bounds write descoberta pelo time de segurança da JFrog no decoder MagicYUV da biblioteca libavcodec do FFmpeg.</p><p><strong>Causa técnica:</strong> Um mismatch de arredondamento no cálculo das alturas dos planos de croma permite que um arquivo de mídia especialmente criado sobrescreva estruturas AVBuffer na heap, possibilitando execução arbitrária de comandos via hijacking de ponteiros de função.</p><p><strong>Aplicações vulneráveis:</strong> Qualquer software que use libavcodec, incluindo Jellyfin, Kodi, Emby, Nextcloud, PhotoPrism e OBS Studio. RCE confirmado em servidores Jellyfin com ASLR desabilitado ou via chaining de outras vulnerabilidades.</p><p><strong>Correção:</strong> FFmpeg 8.1.2, liberado em 17 de junho. Reportado ao FFmpeg em 13 de maio de 2026.</p>