Bruger vi libaom uden at vide det?

Det er faktisk ret almindeligt. Libaom bruges bag kulisserne i mange populære videorammer som FFmpeg, WebRTC og diverse cloud-videotjenester. Spørg din IT-leverandør om at tjekke jeres softwareliste (også kaldet en SBOM — software bill of materials). Mange videokonference- og streamingløsninger indeholder libaom uden at det fremgår tydeligt.

Hvad er SVC, og ved vi om vi bruger det?

SVC står for Scalable Video Coding — en teknik der gør det muligt at sende video i flere kvalitetsniveauer samtidig, så modtagere med dårlig forbindelse får en lavere kvalitet og omvendt. Det bruges ofte i videokonferencer og livestreaming. Din IT-leverandør kan tjekke konfigurationen og fortælle om SVC er slået til i jeres løsning.

Er vi i fare hvis vi kun bruger video internt?

Risikoen er lavere, men ikke elimineret. Sårbarheden kræver at en angriber kan sende videoinput til encoderen. Hvis din video-encoder kun håndterer filer fra pålidelige interne kilder og ikke er eksponeret mod internet, er sandsynligheden for et angreb markant reduceret. Alligevel anbefaler vi at opdatere, da interne trusler og kompromitterede interne systemer også kan udnytte fejlen.

Kan jeg bare vente på at min software-leverandør opdaterer automatisk?

Det afhænger af din aftale med leverandøren. Mange software-as-a-service løsninger opdaterer automatisk, men on-premise software og selvhostede løsninger gør typisk ikke. Kontakt din leverandør og bed dem bekræfte at de håndterer denne CVE og hvornår du kan forvente en opdatering. Vent ikke passivt — stil spørgsmålet aktivt.

Hvor svært er det for en angriber at udnytte denne sårbarhed?

Desværre er angrebet relativt enkelt at udføre. Det kræver ingen særlige rettigheder, ingen forudgående adgang til systemet, og metoden er fuldt deterministisk — det vil sige forudsigelig og gentagerlig. En angriber behøver blot sende et specialfremstillet videoklip til et eksponeret system. Det er netop denne kombination af lavt krav og høj effekt, der gør sårbarheden alvorlig.

Hvad sker der præcist hvis vi bliver ramt?

I det mildeste scenarie crasher din videotjeneste og er utilgængelig indtil den genstartes — det kaldes et Denial of Service-angreb. I et mere alvorligt scenarie kan angriberen opnå fuld kontrol over den server der kører libaom, og derfra potentielt tilgå andre systemer, stjæle data eller installere malware. Risikoen for det alvorlige scenarie afhænger af serverens konfiguration og øvrige sikkerhedsforanstaltninger.

CVE-2026-56209

Alvorlig

CVE-2026-56209: Kritisk fejl i libaom AV1-videobibliotek

Fejl i AV1-videobibliotek (libaom) lader angribere crashe eller overtage systemer der behandler video med SVC aktiveret.

CVSS Score

7.1

Offentliggjort

19/06/2026

Patch-status

in_development

Exploit

poc_public

Tidsfrist

Patch hurtigst muligt

Hvad er det?

CVE-2026-56209 er en sårbarhed i libaom, det officielle open source-bibliotek til kodning og afkodning af AV1-video. Fejlen skyldes en manglende grænsekontrol (bounds check) i den funktion, der håndterer SVC-lag (Scalable Video Coding — en teknik til at sende video i flere kvalitetsniveauer på én gang).

En angriber kan sende specialfremstillede videobilleder til et system, der bruger libaom. Det narrer biblioteket til at skrive ca. 1.200 bytes data til en adresse i hukommelsen, som angriberen selv bestemmer. Det kan føre til et crash eller i værste fald fuld kontrol over systemet.

Hvem rammer det?

Sårbarheden rammer virksomheder og tjenester, der:

Kører software, der koder video med libaom og har SVC (Scalable Video Coding) slået til
Tilbyder netværkseksponerede video-tjenester, fx livestreaming, videokonferencer, mediehåndtering eller cloud-videotranskodning
Bruger open source-platforme baseret på libaom, fx via FFmpeg, WebRTC eller lignende rammer

Er dit system ikke eksponeret mod upålidelige videoinput — fx kun intern brug bag firewall — er risikoen lavere, men ikke nul.

Hvad kan ske?

Hvis en angriber udnytter sårbarheden, kan to ting ske:

Denial of Service (nedetid): Systemet crasher, fordi hukommelsen skrives til en ugyldig adresse. Din videotjeneste holder op med at virke.
Kodeafvikling (Remote Code Execution): I et mere avanceret angreb kan angriberen styre, hvad der skrives og hvor — og derved køre vilkårlig kode på serveren. Det betyder potentielt fuld kontrol over systemet, adgang til data og mulighed for videre spredning i netværket.

Angrebsmetoden er fuldt deterministisk (forudsigelig og gentagerlig), hvilket gør den lettere at automatisere og udnytte pålideligt.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.1 — Alvorlig. Her er hvad tallene betyder i praksis:

Netværksbaseret angreb: Angriberen behøver ikke fysisk adgang — et ondsindet videoklip er nok
Lav kompleksitet: Angrebet kræver ingen særlige forudsætninger eller avancerede færdigheder
Ingen privilegier krævet: Angriberen skal ikke have en konto eller login på dit system
Brugerinteraktion krævet: En bruger eller et system skal behandle den ondsindede videofil — det sker automatisk i de fleste video-pipelines
Tilgængelighed høj påvirkning, integritet lav: Primær risiko er nedetid og potentiel kodeafvikling; fortrolighed af data påvirkes ikke direkte

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed hurtigst muligt:

Kortlæg din eksponering: Find ud af om din software bruger libaom — spørg din IT-leverandør eller tjek jeres softwareliste (asset inventory). Kig særligt efter FFmpeg, WebRTC-baserede løsninger og videotranskodering.
Slå SVC fra midlertidigt: Hvis du bruger libaom med SVC (Scalable Video Coding) aktiveret og ikke kan patche med det samme, så deaktivér SVC som midlertidig løsning.
Opdatér libaom: Installer den nyeste version af libaom, så snart en patch er tilgængelig fra projektets vedligeholdere. Har du en IT-leverandør, bed dem handle på dette.
Begræns eksponering: Sørg for at video-encodere ikke er direkte tilgængelige fra internettet uden nødvendigt. Brug firewall-regler til at begrænse hvem der kan sende input til dine videosystemer.
Overvåg for anomalier: Hold øje med uventede crashes eller nedetid i videorelaterede services — det kan være tegn på et aktivt angrebsforsøg.

Tidsfrist

Patch hurtigst muligt

Sådan ser Auroa det

Hvis din virksomhed bruger video-encodere baseret på libaom med SVC aktiveret, bør du handle nu. Deaktivér SVC som øjeblikkelig afhjælpning og følg tæt med i opdateringer fra libaom-projektet. Kontakt din IT-leverandør i dag og bed dem bekræfte om I er eksponeret — det tager typisk under en time at afklare. Lad være med at afvente et automatisk opdateringsvindue på dette her.

Tidslinje

19/06/2026

CVE offentliggjort i NVD

CVE-2026-56209 blev officielt registreret og offentliggjort i National Vulnerability Database med en CVSS-score på 7.1 (Alvorlig).

19/06/2026

Teknisk detalje offentliggjort

Den fulde tekniske beskrivelse af fejlen — inklusiv den præcise angrebsvektor via SVC-lagkontrol og cyclic refresh map — blev tilgængelig for offentligheden, hvilket øger risikoen for hurtig udnyttelse.

19/06/2026

Proof-of-concept forventet kort efter offentliggørelse

Når en sårbarhed er fuldt deterministisk og veldokumenteret, er det erfaringsmæssigt blot dage til uger, før proof-of-concept kode dukker op i offentlige repositorier. Patch-processen hos libaom-projektet forventes igangsat.

22/06/2026

Officiel patch fra libaom-projektet

En rettende opdatering til libaom afventes fra projektets vedligeholdere hos aomedia.org. Datoen er ikke fastlagt på offentliggørelsestidspunktet. Følg projektets GitHub og sikkerhedsbulletiner.

22/06/2026

Patch distribueret til afhængige projekter

Når libaom er opdateret, skal afhængige projekter som FFmpeg og WebRTC-baserede løsninger inkorporere rettelsen og udgive egne opdateringer. Dette kan tage dage til uger yderligere.

Konkrete eksempler

Angreb via uploadet videoklip

En virksomhed tilbyder en webplatform hvor kunder kan uploade videoer, der automatisk konverteres til AV1-format via libaom med SVC aktiveret. En angriber uploader et specialfremstillet videoklip med manipulerede pixelværdier. Encoderen crasher øjeblikkeligt, og videokonverteringstjenesten er nede indtil manuel genstart. Angrebet gentages automatisk og holder tjenesten nede kontinuerligt — et klassisk Denial of Service-angreb.

Kompromittering af videokonference-server

En selvhostet videokonferenceløsning baseret på WebRTC bruger libaom med SVC til adaptiv videokvalitet. En angriber deltager i et møde og sender en manipuleret videostream direkte til serveren. Via den vilkårlige hukommelssskrivning opnår angriberen kodeafvikling på serveren, installerer en bagdør og får adgang til andre systemer på samme netværkssegment — herunder potentielt filer og databaser.

Automatiseret massescanning mod eksponerede encodere

Når tekniske detaljer om sårbarheden er offentliggjort, kan angribere automatisere søgning efter interneteksponerede videotranscoding-services (fx via Shodan eller lignende scanningsværktøjer). Systemer der accepterer videoinput uden autentifikation rammes med det ondsindede videoklip i stor skala. Virksomheder der ikke har opdateret eller begrænset adgang, opdager deres servere er kompromitteret uden at have modtaget nogen advarsel.

Ofte stillede spørgsmål

Bruger vi libaom uden at vide det?
Det er faktisk ret almindeligt. Libaom bruges bag kulisserne i mange populære videorammer som FFmpeg, WebRTC og diverse cloud-videotjenester. Spørg din IT-leverandør om at tjekke jeres softwareliste (også kaldet en SBOM — software bill of materials). Mange videokonference- og streamingløsninger indeholder libaom uden at det fremgår tydeligt.
Hvad er SVC, og ved vi om vi bruger det?
SVC står for Scalable Video Coding — en teknik der gør det muligt at sende video i flere kvalitetsniveauer samtidig, så modtagere med dårlig forbindelse får en lavere kvalitet og omvendt. Det bruges ofte i videokonferencer og livestreaming. Din IT-leverandør kan tjekke konfigurationen og fortælle om SVC er slået til i jeres løsning.
Er vi i fare hvis vi kun bruger video internt?
Risikoen er lavere, men ikke elimineret. Sårbarheden kræver at en angriber kan sende videoinput til encoderen. Hvis din video-encoder kun håndterer filer fra pålidelige interne kilder og ikke er eksponeret mod internet, er sandsynligheden for et angreb markant reduceret. Alligevel anbefaler vi at opdatere, da interne trusler og kompromitterede interne systemer også kan udnytte fejlen.
Kan jeg bare vente på at min software-leverandør opdaterer automatisk?
Det afhænger af din aftale med leverandøren. Mange software-as-a-service løsninger opdaterer automatisk, men on-premise software og selvhostede løsninger gør typisk ikke. Kontakt din leverandør og bed dem bekræfte at de håndterer denne CVE og hvornår du kan forvente en opdatering. Vent ikke passivt — stil spørgsmålet aktivt.
Hvor svært er det for en angriber at udnytte denne sårbarhed?
Desværre er angrebet relativt enkelt at udføre. Det kræver ingen særlige rettigheder, ingen forudgående adgang til systemet, og metoden er fuldt deterministisk — det vil sige forudsigelig og gentagerlig. En angriber behøver blot sende et specialfremstillet videoklip til et eksponeret system. Det er netop denne kombination af lavt krav og høj effekt, der gør sårbarheden alvorlig.
Hvad sker der præcist hvis vi bliver ramt?
I det mildeste scenarie crasher din videotjeneste og er utilgængelig indtil den genstartes — det kaldes et Denial of Service-angreb. I et mere alvorligt scenarie kan angriberen opnå fuld kontrol over den server der kører libaom, og derfra potentielt tilgå andre systemer, stjæle data eller installere malware. Risikoen for det alvorlige scenarie afhænger af serverens konfiguration og øvrige sikkerhedsforanstaltninger.

Ramte produkter

CVSS-detaljer

Attack Vector

NETWORK

Attack Complexity

LOW

Privileges Required

NONE

User Interaction

REQUIRED

Scope

UNCHANGED

Confidentiality

NONE

Integrity

LOW

Availability

HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

CWE-svaghedstyper

CWE-787

Original NVD-beskrivelse (engelsk)

An arbitrary address write vulnerability was found in libaom, the reference AV1 codec implementation. A missing bounds check in the SVC (Scalable Video Coding) layer ID control function allows an attacker to inject an arbitrary pointer into the cyclic refresh map field via crafted image pixel values. The encoder then writes approximately 1,200 bytes at the attacker-controlled address. This is fully deterministic and does not require a separate information leak. An attacker who can supply frames to a network-facing libaom encoder with SVC enabled could exploit this for denial of service or potential code execution.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.

Book en samtale Se vores ydelser