FFmpeg: 21 agujeros de seguridad en tu reproductor de video

21 vulnerabilidades críticas en FFmpeg exponen millones de dispositivos. Aprende a protegerte sin dejar de usar tus apps favoritas.

Seguridad Digital Minimalismo Digital Tecnologia

FFmpeg: 21 agujeros de seguridad en tu reproductor de video

Un investigador encontró 21 vulnerabilidades de día cero en FFmpeg, la biblioteca que usan VLC, OBS, Chrome y casi cualquier app que reproduzca video. Si ves un archivo multimedia en tu ordenador, FFmpeg probablemente lo está procesando.

Por qué importa

FFmpeg está en todas partes: desde editores de video hasta reproductores de música, pasando por servidores de streaming y hasta el kernel de Linux. Cada una de estas 21 fallas permite a un atacante ejecutar código remoto o bloquear el sistema con solo enviarte un archivo de video malicioso.

No es un problema teórico. Los exploits ya existen y pueden empaquetarse en un archivo MP4, AVI o incluso en un GIF animado. Al abrirlo en cualquier app que use FFmpeg, el atacante toma control de tu equipo.

Qué dice el contexto

Las 21 vulnerabilidades fueron reportadas por el investigador de seguridad de Depth First, quien siguió un proceso de divulgación responsable.
FFmpeg ya lanzó parches en su versión 7.1, lanzada el 5 de noviembre de 2024.
Las fallas incluyen desbordamientos de búfer, uso después de liberación y problemas de整数 overflow en decodificadores de formatos como H.264, HEVC y VP9.
Muchas aplicaciones populares (VLC, OBS, Chrome, Firefox) empaquetan su propia copia de FFmpeg y pueden tardar semanas o meses en actualizarla.
No hay evidencia de que estas vulnerabilidades hayan sido explotadas activamente, pero el código de prueba ya circula en foros de seguridad.

Lo que puedes hacer

Actualiza tus aplicaciones hoy: Ve a la página de descargas de VLC, OBS, Chrome y cualquier editor de video. Busca versiones lanzadas después del 15 de noviembre de 2024. Si no ves fecha, desinstálalos y vuelve a instalar.
No abras archivos de video de fuentes desconocidas: Aunque sea un meme o un video gracioso, si no confías en quien te lo envió, no lo reproduzcas. Mejor usa un reproductor online que no dependa de FFmpeg (como el de YouTube) para previsualizar.
Revisa actualizaciones del sistema: En Linux, ejecuta sudo apt upgrade ffmpeg o el comando equivalente. En Windows, asegúrate de que Windows Update esté al día, aunque la mayoría de apps se actualizan por separado.

En una frase

“

21 vulnerabilidades críticas en FFmpeg: cualquier archivo de video puede ser un arma, y tu reproductor favorito probablemente aún no está parcheado.

Por qué importa

Qué dice el contexto

Las 21 vulnerabilidades fueron reportadas por el investigador de seguridad de Depth First, quien siguió un proceso de divulgación responsable.

FFmpeg ya lanzó parches en su versión 7.1, lanzada el 5 de noviembre de 2024.

Las fallas incluyen desbordamientos de búfer, uso después de liberación y problemas de整数 overflow en decodificadores de formatos como H.264, HEVC y VP9.

Muchas aplicaciones populares (VLC, OBS, Chrome, Firefox) empaquetan su propia copia de FFmpeg y pueden tardar semanas o meses en actualizarla.

No hay evidencia de que estas vulnerabilidades hayan sido explotadas activamente, pero el código de prueba ya circula en foros de seguridad.

Lo que puedes hacer

Actualiza tus aplicaciones hoy: Ve a la página de descargas de VLC, OBS, Chrome y cualquier editor de video. Busca versiones lanzadas después del 15 de noviembre de 2024. Si no ves fecha, desinstálalos y vuelve a instalar.

No abras archivos de video de fuentes desconocidas: Aunque sea un meme o un video gracioso, si no confías en quien te lo envió, no lo reproduzcas. Mejor usa un reproductor online que no dependa de FFmpeg (como el de YouTube) para previsualizar.

Revisa actualizaciones del sistema: En Linux, ejecuta sudo apt upgrade ffmpeg o el comando equivalente. En Windows, asegúrate de que Windows Update esté al día, aunque la mayoría de apps se actualizan por separado.