Une faille du décodeur vidéo de FFmpeg menace les installations de Jellyfin, Nextcloud et Kodi. Elle est corrigée depuis le 17 juin, et n'a pas été exploitée. Ce qui se joue en coulisses dépasse largement ce simple correctif.
FFmpeg, vous l'utilisez sans doute sans le savoir : c'est la bibliothèque logicielle qui traite la vidéo derrière YouTube, Netflix, VLC, Kodi, Plex et à peu près tout ce qui touche à de l'image animée sur Internet. Écrite et maintenue presque exclusivement par des bénévoles, elle tourne sur des centaines de millions d'appareils et corrige régulièrement des failles nichées dans des décodeurs dont certains n'avaient plus été touchés depuis quinze ou vingt ans. La version 8.1.2, publiée le 17 juin, colmate PixelSmash (CVE-2026-8461), un débordement de tampon repéré par les chercheurs de l'entreprise JFrog dans le décodeur MagicYUV.
PixelSmash : ce que la faille peut faire, et à qui elle s'en prend
Le décodeur MagicYUV traite les fichiers AVI, MKV et MOV. La faille vient d'une incohérence dans la gestion de la hauteur des plans de chrominance, qui produit l'écriture d'une ligne de trop en mémoire tas : de quoi planter l'application ou, dans les scénarios plus sérieux, injecter du code arbitraire. Les applications concernées comprennent Jellyfin, Nextcloud, Kodi, Emby, OBS Studio et PhotoPrism. Si vous hébergez un serveur multimédia ou un cloud personnel, la question mérite votre attention.
Le risque réel reste toutefois à nuancer, car deux conditions limitent fortement la portée de la faille. L'exécution de code à distance sur Jellyfin et Nextcloud n'est possible que si l'ASLR (la randomisation des adresses mémoire) est désactivé, ou si une seconde faille est chaînée pour le contourner ; dans la plupart des configurations modernes, l'ASLR est actif par défaut. Et aucune exploitation de PixelSmash dans la nature n'a été signalée à ce jour. La faille est corrigée, pas exploitée, ce qui change beaucoup de choses quand on évalue l'urgence d'un correctif.
Quand les IA trouvent les bugs plus vite que les bénévoles ne corrigent
En octobre 2025, es mainteneurs de FFmpeg avaient qualifié de « CVE slop » les rapports de vulnérabilités déversés en rafale par Big Sleep, l'agent automatisé de Google : l'IA avait notamment exhumé une faille dans le décodeur d'un codec qui ne servait plus qu'à un jeu vidéo de 1995. Rapport déposé, minuterie de divulgation de 90 jours enclenchée, bénévoles sommés de corriger du code qu'aucun utilisateur ne croiserait jamais. Le mainteneur de libxml2, bibliothèque tout aussi critique, a fini par démissionner fin 2025, épuisé par cette pression.
Depuis, la cadence des découvertes s'est nettement accélérée, IA en tête. Au printemps 2026, Anthropic révélait que son modèle Mythos avait débusqué dans le décodeur H.264 de FFmpeg une faille dormante vieille de seize ans, trois correctifs étant ensuite intégrés à FFmpeg 8.1. En juin, la startup Depthfirst en trouvait 21 autres pour environ 1 000 dollars de calcul, certaines tapies dans le code depuis quinze à vingt-trois ans. Ce que Google, Anthropic et quantité d'autres acteurs démontrent en même temps, c'est que les IA passent désormais au crible 1,5 million de lignes de C à une cadence que le modèle de maintenance bénévole n'a jamais été conçu pour absorber. La Commission européenne elle-même le reconnaît dans son paquet de souveraineté de juin : nombre de composants open source critiques reposent sur des bénévoles sans financement pérenne.
Pour les administrateurs, la marche à suivre est simple : passer FFmpeg en 8.1.2 ou supérieur, sans oublier les copies embarquées dans des images Docker, des paquets Python ou des appliances installées en 2022 et jamais mises à jour depuis (ces copies oubliées sont souvent les plus exposées). FFmpeg, lui, continuera de tourner en silence derrière vos vidéos. La vraie question que pose PixelSmash n'est pas technique : c'est combien de temps les bénévoles qui le maintiennent tiendront le rythme face à des outils d'IA dont la seule limite est le budget de calcul de leurs employeurs.
