CVE-2026-56210: Alvorlig fejl i libaom AV1-videobibliotek
Fejl i AV1-videokomponent (libaom) kan lade angribere crashe din tjeneste eller lække data via et ondsindet videoopkald.
Hvad er det?
CVE-2026-56210 er en sikkerhedsfejl i libaom, som er det officielle referencebibliotek til AV1-videoformatet. AV1 bruges bredt i videostreaming, videokonferencer og mediehåndtering.
Fejlen opstår, fordi en funktion til styring af video-lag (SVC – Scalable Video Coding) ikke tjekker, om et lagnummer er inden for de tilladte grænser. Det betyder, at programmet kan komme til at læse hukommelse, det ikke har lov til – op til cirka 40.000 bytes for langt. Det kaldes et heap-buffer-overflow read (læsning uden for reserveret hukommelse).
Hvem rammer det?
Fejlen rammer virksomheder og tjenester, der:
- Bruger software, der bygger på libaom til at afkode eller enkode AV1-video – f.eks. videokonferenceløsninger, medieservere eller web-applikationer med video-upload.
- Har en netværksvendt tjeneste, hvor brugere eller tredjeparter kan påvirke, hvordan video behandles.
Er du ikke selv udvikler, men bruger f.eks. en SaaS-løsning eller open source-platform til video, kan din leverandør være berørt – og du skal følge op hos dem.
Hvad kan ske?
En angriber, der kan sende særligt udformede videodata til din tjeneste, kan potentielt:
- Crashe applikationen (Denial of Service) – tjenesten stopper med at virke, fordi programmet rammer hukommelse, det ikke må tilgå.
- Lække data fra serverens hukommelse – indholdet af heap-hukommelsen (midlertidig arbejdshukommelse) kan sendes tilbage til angriberen, hvilket kan afsløre adgangstokens, sessiondata eller andre følsomme oplysninger, der tilfældigvis ligger i hukommelsen.
Angrebet kræver, at angriberen kan få din software til at behandle en ondsindet AV1-videofil eller -stream, og at en bruger er involveret i processen.
Hvor alvorligt er det?
CVSS-scoren er 7,1 ud af 10 (Alvorlig). Det betyder:
- Angrebet kan udføres over netværket uden særlige rettigheder – men kræver en form for brugerinteraktion (f.eks. at en bruger åbner en videofil eller starter et opkald).
- Konsekvensen er primært nedetid (høj) og i mindre grad datalæk (lav til middel).
- Angrebets kompleksitet er lav, hvilket betyder det ikke kræver stor teknisk indsats at udnytte, når det er identificeret.
Samlet set er det en fejl, du bør håndtere hurtigt – særligt hvis du kører video-tjenester udadtil.
Hvad gør jeg nu?
Følg disse trin for at beskytte dig:
- Kortlæg om du bruger libaom: Spørg din IT-ansvarlige eller leverandør, om jeres software bruger libaom eller AV1-videobehandling.
- Opdatér libaom: Installer den seneste version af libaom, når en patchet udgave er tilgængelig. Følg libaom-projektets udgivelser på GitHub.
- Hold øje med leverandøropdateringer: Bruger du tredjepartssoftware (f.eks. en videokonferenceplatform eller medieserver), skal du sørge for at opdatere til de nyeste versioner, når leverandøren udgiver sikkerhedsopdateringer.
- Begræns hvem der kan sende videodata: Midlertidigt kan du overveje at begrænse adgangen til video-upload eller -behandlingsfunktioner til kendte, betroede brugere, mens du venter på en patch.
- Overvåg for unormal adfærd: Hold øje med uventede nedbrud eller fejl i video-relaterede tjenester, da det kan være tegn på udnyttelsesforsøg.
Opdatér inden for 14 dage
Vi anbefaler, at du straks undersøger, om din software eller dine leverandører anvender libaom til AV1-videobehandling. Sørg for at opdatere, så snart en officiel patch er tilgængelig, og overvej i mellemtiden at indskrænke adgangen til video-upload og -behandlingsfunktioner. Kontakt os, hvis du er i tvivl om, hvorvidt din løsning er berørt – vi hjælper gerne med at vurdere risikoen.
Tidslinje
Konkrete eksempler
Ondsindet AV1-videofil crasher medieserveren
En angriber uploader en særligt udformet AV1-videofil til en virksomheds interne medieplatform eller fil-delingstjeneste. Når serveren forsøger at behandle filen, udløser den fejlagtige SVC-lagkode et forsøg på at læse hukommelse langt uden for de tilladte grænser. Programmet rammer umappet hukommelse og crasher – medieserveren bliver utilgængelig, og ansatte kan ikke tilgå vigtige videofiler eller optagelser.
Videomøde-platform lækker sessionsdata
En angriber deltager i et videomøde via en platform, der internt bruger libaom til AV1-encoding. Angriberen manipulerer sin videostream med forkerte SVC-lagparametre. Serverprocessen læser fejlagtigt et stort stykke heap-hukommelse, som ved et uheld indeholder sessionstokens eller autentificeringsnøgler fra andre aktive møder. Disse data sendes tilbage til angriberen som en del af fejlresponsen, og angriberen kan derefter udgive sig for at være andre brugere.
Automatiseret angreb mod video-upload-funktion
En angriber identificerer en offentlig tilgængelig hjemmeside med video-upload-funktion, der behandler AV1-video via libaom. Ved at sende et script med hundreder af manipulerede videofiler kan angriberen gentagne gange crashe video-behandlingstjenesten. Resultatet er vedvarende nedetid for hjemmesidens brugere og potentielt tab af omdømme og omsætning for virksomheden.
Ofte stillede spørgsmål
Hvad er libaom, og har vi det?
libaom er et open source-softwarebibliotek til at arbejde med AV1-videoformatet. Det bruges i mange video-relaterede programmer og platforme – herunder browsere, medieservere og videokonferenceløsninger. Spørg din IT-ansvarlige eller leverandør, om jeres software benytter AV1-video eller specifikt libaom.
Skal vi stoppe med at bruge vores videoløsning nu?
Ikke nødvendigvis. Angrebet kræver, at en angriber kan påvirke, hvordan video behandles i din tjeneste, og at der er brugerinteraktion. Vurdér om jeres løsning er eksponeret mod upålidelige brugere eller ukendte videofiler. I så fald kan en midlertidig begrænsning af adgang være fornuftig, mens I venter på en opdatering.
Er det kun udviklere, der er berørt?
Nej. Selv hvis I ikke selv skriver kode, kan I være berørt via tredjeparts software, der bruger libaom internt. Det gælder f.eks. videokonferenceplatforme, CMS-systemer med video-upload eller mediebehandlingstjenester. Kontakt jeres leverandører og spørg om de er berørt og hvornår de forventer en opdatering.
Kan et angreb lække vores kundedata?
Det er muligt i teorien. Fejlen kan afsløre indhold fra serverens arbejdshukommelse på det tidspunkt, angrebet sker – dette kan inkludere sessionsdata, tokens eller andre midlertidige oplysninger. Risikoen afhænger af, hvad der konkret befinder sig i hukommelsen. Det er derfor vigtigt at opdatere hurtigt, særligt hvis I behandler følsomme data i forbindelse med video.
Hvornår kommer der en patch?
Per offentliggørelsesdatoen (19. juni 2026) er en officiel patch endnu ikke bekræftet udgivet. Følg med på libaom’s officielle GitHub-repository og hold øje med opdateringer fra jeres softwareleverandører. Vi opdaterer denne artikel, når en patch er tilgængelig.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A heap-buffer-overflow read vulnerability was found in libaom, the reference AV1 codec implementation. A missing bounds check in the SVC (Scalable Video Coding) layer ID control function allows setting a spatial_layer_id exceeding the configured number of layers. This causes an out-of-bounds heap read of approximately 40,728 bytes when computing a layer context array index. An attacker who can influence SVC encoder parameters in a network-facing service could exploit this for information disclosure (heap content leak) or denial of service (segmentation fault from hitting unmapped memory).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
