CVE-2026-56210
Alvorlig

CVE-2026-56210: Alvorlig fejl i libaom AV1-videobibliotek

Fejl i AV1-videokomponent (libaom) kan lade angribere crashe din tjeneste eller lække data via et ondsindet videoopkald.

CVSS Score
7.1
Offentliggjort
19/06/2026
Patch-status
in_development
Exploit
poc_public
Tidsfrist
Opdatér inden for 14 dage

Hvad er det?

CVE-2026-56210 er en sikkerhedsfejl i libaom, som er det officielle referencebibliotek til AV1-videoformatet. AV1 bruges bredt i videostreaming, videokonferencer og mediehåndtering.

Fejlen opstår, fordi en funktion til styring af video-lag (SVC – Scalable Video Coding) ikke tjekker, om et lagnummer er inden for de tilladte grænser. Det betyder, at programmet kan komme til at læse hukommelse, det ikke har lov til – op til cirka 40.000 bytes for langt. Det kaldes et heap-buffer-overflow read (læsning uden for reserveret hukommelse).

Hvem rammer det?

Fejlen rammer virksomheder og tjenester, der:

  • Bruger software, der bygger på libaom til at afkode eller enkode AV1-video – f.eks. videokonferenceløsninger, medieservere eller web-applikationer med video-upload.
  • Har en netværksvendt tjeneste, hvor brugere eller tredjeparter kan påvirke, hvordan video behandles.

Er du ikke selv udvikler, men bruger f.eks. en SaaS-løsning eller open source-platform til video, kan din leverandør være berørt – og du skal følge op hos dem.

Hvad kan ske?

En angriber, der kan sende særligt udformede videodata til din tjeneste, kan potentielt:

  • Crashe applikationen (Denial of Service) – tjenesten stopper med at virke, fordi programmet rammer hukommelse, det ikke må tilgå.
  • Lække data fra serverens hukommelse – indholdet af heap-hukommelsen (midlertidig arbejdshukommelse) kan sendes tilbage til angriberen, hvilket kan afsløre adgangstokens, sessiondata eller andre følsomme oplysninger, der tilfældigvis ligger i hukommelsen.

Angrebet kræver, at angriberen kan få din software til at behandle en ondsindet AV1-videofil eller -stream, og at en bruger er involveret i processen.

Hvor alvorligt er det?

CVSS-scoren er 7,1 ud af 10 (Alvorlig). Det betyder:

  • Angrebet kan udføres over netværket uden særlige rettigheder – men kræver en form for brugerinteraktion (f.eks. at en bruger åbner en videofil eller starter et opkald).
  • Konsekvensen er primært nedetid (høj) og i mindre grad datalæk (lav til middel).
  • Angrebets kompleksitet er lav, hvilket betyder det ikke kræver stor teknisk indsats at udnytte, når det er identificeret.

Samlet set er det en fejl, du bør håndtere hurtigt – særligt hvis du kører video-tjenester udadtil.

Hvad gør jeg nu?

Følg disse trin for at beskytte dig:

  1. Kortlæg om du bruger libaom: Spørg din IT-ansvarlige eller leverandør, om jeres software bruger libaom eller AV1-videobehandling.
  2. Opdatér libaom: Installer den seneste version af libaom, når en patchet udgave er tilgængelig. Følg libaom-projektets udgivelser på GitHub.
  3. Hold øje med leverandøropdateringer: Bruger du tredjepartssoftware (f.eks. en videokonferenceplatform eller medieserver), skal du sørge for at opdatere til de nyeste versioner, når leverandøren udgiver sikkerhedsopdateringer.
  4. Begræns hvem der kan sende videodata: Midlertidigt kan du overveje at begrænse adgangen til video-upload eller -behandlingsfunktioner til kendte, betroede brugere, mens du venter på en patch.
  5. Overvåg for unormal adfærd: Hold øje med uventede nedbrud eller fejl i video-relaterede tjenester, da det kan være tegn på udnyttelsesforsøg.
Tidsfrist

Opdatér inden for 14 dage

Sådan ser Auroa det

Vi anbefaler, at du straks undersøger, om din software eller dine leverandører anvender libaom til AV1-videobehandling. Sørg for at opdatere, så snart en officiel patch er tilgængelig, og overvej i mellemtiden at indskrænke adgangen til video-upload og -behandlingsfunktioner. Kontakt os, hvis du er i tvivl om, hvorvidt din løsning er berørt – vi hjælper gerne med at vurdere risikoen.

Tidslinje

19/06/2026
CVE offentliggjort
CVE-2026-56210 registreres officielt i NVD-databasen med en CVSS-score på 7,1 (Alvorlig). Fejlen beskrives som en heap-buffer-overflow læsningsfejl i libaom's SVC-lagfunktion.
19/06/2026
Tekniske detaljer tilgængelige
Den tekniske beskrivelse af sårbarheden er offentligt tilgængelig, herunder hvilken funktion der er berørt og omfanget af den fejlagtige hukommelseslæsning (~40.728 bytes). Dette øger risikoen for, at proof-of-concept-kode udvikles hurtigt.
20/06/2026
Leverandører adviseret
Projekter og produkter, der bygger på libaom, forventes at begynde at vurdere deres eksponering og forberede opdateringer som følge af den offentlige CVE-registrering.
09/07/2026
Officiel patch forventet
En patchet version af libaom er endnu ikke bekræftet udgivet. Følg libaom-projektets GitHub og jeres softwareleverandørers sikkerhedskanaler for opdateringer.

Konkrete eksempler

Ondsindet AV1-videofil crasher medieserveren

En angriber uploader en særligt udformet AV1-videofil til en virksomheds interne medieplatform eller fil-delingstjeneste. Når serveren forsøger at behandle filen, udløser den fejlagtige SVC-lagkode et forsøg på at læse hukommelse langt uden for de tilladte grænser. Programmet rammer umappet hukommelse og crasher – medieserveren bliver utilgængelig, og ansatte kan ikke tilgå vigtige videofiler eller optagelser.

Videomøde-platform lækker sessionsdata

En angriber deltager i et videomøde via en platform, der internt bruger libaom til AV1-encoding. Angriberen manipulerer sin videostream med forkerte SVC-lagparametre. Serverprocessen læser fejlagtigt et stort stykke heap-hukommelse, som ved et uheld indeholder sessionstokens eller autentificeringsnøgler fra andre aktive møder. Disse data sendes tilbage til angriberen som en del af fejlresponsen, og angriberen kan derefter udgive sig for at være andre brugere.

Automatiseret angreb mod video-upload-funktion

En angriber identificerer en offentlig tilgængelig hjemmeside med video-upload-funktion, der behandler AV1-video via libaom. Ved at sende et script med hundreder af manipulerede videofiler kan angriberen gentagne gange crashe video-behandlingstjenesten. Resultatet er vedvarende nedetid for hjemmesidens brugere og potentielt tab af omdømme og omsætning for virksomheden.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
REQUIRED
Scope
UNCHANGED
Confidentiality
LOW
Integrity
NONE
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H

CWE-svaghedstyper

CWE-125

Original NVD-beskrivelse (engelsk)

A heap-buffer-overflow read vulnerability was found in libaom, the reference AV1 codec implementation. A missing bounds check in the SVC (Scalable Video Coding) layer ID control function allows setting a spatial_layer_id exceeding the configured number of layers. This causes an out-of-bounds heap read of approximately 40,728 bytes when computing a layer context array index. An attacker who can influence SVC encoder parameters in a network-facing service could exploit this for information disclosure (heap content leak) or denial of service (segmentation fault from hitting unmapped memory).

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-56210
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
in_development
Tidsfrist
Opdatér inden for 14 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.