CVE-2026-56211: Kritisk fejl i libaom AV1-bibliotek
Kritisk fejl i AV1-videobibliotek kan give angribere fuld kontrol over din server ved upload af manipulerede videofiler.
Hvad er det?
CVE-2026-56211 er en sårbarhed i libaom — det officielle open source-bibliotek til at indkode og afkode AV1-video. AV1 er et moderne videoformat, der bruges i mange streamingtjenester og videoplatforme.
Fejlen opstår i en funktion kaldet SVC (Scalable Video Coding), som bruges til at lave video i flere kvalitetsniveauer på én gang. Biblioteket tjekker ikke godt nok, om de data det modtager holder sig inden for de tilladte grænser (såkaldt out-of-bounds write, CWE-787). Det betyder, at en angriber kan sende en særligt konstrueret videofil, der snyder programmet til at skrive data det forkerte sted i hukommelsen — og dermed overtage styringen af serveren.
Hvem rammer det?
Sårbarheden rammer primært virksomheder og tjenester der behandler videoer uploadet af brugere, og som bruger libaom-biblioteket med SVC-indkodning aktiveret. Det kan fx være:
- Platforme med brugergenereret videoindhold (fx intranet med videoupload, e-læringstjenester)
- Videokonference- eller streamingløsninger der bygger på AV1
- Medievirksomheder med automatiserede videoproceseringsservere
- SaaS-løsninger (cloud-software) der tilbyder videokonvertering eller -behandling
Bruger du ikke selv videobehandling med libaom, er du sandsynligvis ikke direkte ramt — men tjek dine leverandørers software.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan vedkommende opnå fuld kontrol over den serverproces der håndterer videoen. I praksis betyder det:
- Afvikling af vilkårlige kommandoer på serveren (Remote Code Execution)
- Datatyveri — angriberen kan tilgå filer og databaser serveren har adgang til
- Nedbrud af tjenesten — serveren kan crashe gentagne gange som del af angrebet
- Spredning i dit netværk — hvis serveren er forbundet til andre systemer, kan angriberen bevæge sig videre
Angriberen behøver ikke login eller særlige rettigheder — det kræver blot, at du accepterer en videofil fra dem.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 7.1 (Alvorlig). Den kræver en vis teknisk indsats af angriberen (høj kompleksitet) og at en bruger interagerer med den ondsindede fil, hvilket sænker scoren en smule. Til gengæld kræves der ingen forudgående login eller adgangskoder.
Konsekvenserne er alvorlige: potentiel fuld kontrol over serveren samt høj risiko for tab af data og systemnedbrud. Tjenester der automatisk behandler indkommende videoer uden menneskelig gennemgang er særligt udsatte, da brugerinteraktionen i praksis kan reduceres til blot at uploade filen.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Kortlæg om du bruger libaom: Spørg din IT-ansvarlige eller leverandør, om jeres systemer bruger libaom-biblioteket til videobehandling — særligt med SVC-indkodning aktiveret.
- Opdatér libaom straks: Installer den seneste patchede version af libaom, så snart den er tilgængelig fra projektets officielle kilde (aomedia.googlesource.com).
- Deaktivér SVC-indkodning midlertidigt: Hvis du ikke kan opdatere med det samme, så overvej at slå SVC-funktionen fra i libaom-konfigurationen, indtil patchen er installeret.
- Begræns hvem der kan uploade videoer: Indfør eller stram adgangskontrol, så kun kendte og betroede brugere kan uploade videofiler til systemet.
- Overvåg dine systemer: Hold øje med unormale nedbrud eller fejl i videoprocesseringstjenester — gentagne crashes kan være tegn på, at nogen forsøger at udnytte fejlen.
- Kontakt dine softwareleverandører: Spørg om de bruger libaom i deres produkter, og hvornår de forventer at levere en opdatering.
Opdatér hurtigst muligt
Vores anbefaling er, at du straks kortlægger om libaom indgår i din softwarestack — enten direkte eller via en tredjeparts leverandør. Kan du ikke opdatere øjeblikkeligt, bør du som minimum deaktivere SVC-indkodning og begrænse muligheden for at uploade videofiler til kun verificerede brugere. Sæt en reminder til at installere patchen, så snart den frigives officielt, og følg op med dine it-leverandører om deres tidsplan.
Tidslinje
Konkrete eksempler
Ondsindet videoupload på medieplatform
En angriber opretter en konto på en virksomheds interne videodelingsplatform og uploader en særligt konstrueret AV1-videofil. Serverens automatiske videobehandling aktiverer libaom med SVC-indkodning, og den manipulerede fil udløser fejlen. Angriberen overtager serverprocessen og kan nu læse alle videoer og brugerdata på platformen.
Angreb via e-læringsplatform med videoindsendelse
En kursusplatform tillader studerende at uploade videobesvarelser. En angriber indsender en manipuleret videofil som en opgavebesvarelse. Serveren behandler automatisk filen med libaom, og angriberen opnår adgang til serverens filsystem — herunder andre studerendes besvarelser og platformens konfigurationsfiler med adgangskoder.
Crash-oracle-angreb mod videokonverteringstjeneste
En angriber benytter en automatiseret videokonverteringstjeneste og sender gentagne, lidt varierede manipulerede videofiler. Hvert crash afslører information om serverens hukommelseslayout (en teknik kaldet crash oracle). Efter tilstrækkeligt mange forsøg har angriberen kortlagt hukommelsen præcist nok til at eksekvere vilkårlige kommandoer på serveren.
Ofte stillede spørgsmål
Hvad er libaom, og om vi bruger det?
libaom er et gratis, open source-bibliotek der bruges til at behandle video i AV1-formatet. Det er udviklet af Alliance for Open Media og er indbygget i mange videobehandlingsprogrammer og -tjenester. Spørg din IT-ansvarlige om at søge i jeres software og servere efter libaom — det kan typisk gøres med en pakkeliste-kommando på serveren.
Kan vi blive ramt, selvom vi ikke laver video selv?
Ja, indirekte. Mange virksomheder bruger cloud-tjenester eller tredjepartssoftware der behandler video i baggrunden. Bruger din platform fx Microsoft Teams, Zoom, en e-læringsplatform eller en medieserver, kan libaom være en del af løsningen uden at du ved det. Kontakt dine leverandører og spørg specifikt til CVE-2026-56211.
Er der en patch tilgængelig lige nu?
Per offentliggørelsesdatoen den 19. juni 2026 var en officiel patch endnu ikke frigivet. Projektet bag libaom arbejder på en rettelse. Hold øje med opdateringer på projektets officielle side og i din Linux-distributions pakkeopdateringer (fx apt eller yum). Vi opdaterer denne side, når en patch er bekræftet tilgængelig.
Hvad er SVC, og kan vi bare slå det fra?
SVC (Scalable Video Coding) er en teknologi der gør det muligt at indkode én video i flere kvalitetsniveauer samtidigt — nyttigt til fx videokonference hvor forbindelseshastigheden varierer. Bruger I ikke aktivt denne funktion, kan I sandsynligvis slå den fra uden at miste funktionalitet. Det kræver en konfigurationsændring i libaom — bed jeres IT-ansvarlige om at tjekke dette.
Hvad sker der, hvis vi ikke gør noget?
Risikoen er, at en angriber sender en manipuleret videofil til jeres system og derved overtager den server der behandler filen. Det kan føre til datatyveri, nedbrud af tjenester og potentielt videre angreb på resten af jeres netværk. Jo længere I venter, jo større er risikoen — særligt hvis der opstår offentlige exploit-kits (angrebsværktøjer der gør angrebet nemt at udføre).
Gælder dette også vores websites videoafspiller?
Nej, sandsynligvis ikke. Denne sårbarhed ligger i indkodningsdelen af libaom — altså den del der konverterer video på serveren. En almindelig videoafspiller på et website afkoder video og er ikke ramt af denne specifikke fejl. Det er servere der modtager og behandler indkommende videofiler, der er i farezonen.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A remote code execution vulnerability was found in libaom, the reference AV1 codec implementation. Insufficient bounds validation in the AV1 encoder’s SVC (Scalable Video Coding) layer ID control allows an attacker to supply crafted video frame pixels that overlap with internal encoder layer context structures. In fork-based video processing services, an attacker can use this to hijack the cyclic refresh map pointer, brute-force the process base address via a crash oracle, and redirect control flow to achieve arbitrary command execution. Exploitation requires the target service to use libaom with SVC encoding enabled and accept attacker-supplied video frames.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
