Se han identificado diez vulnerabilidades en el framework multimedia GStreamer, utilizado en GNOME. Todas ellas permiten la ejecución remota de código al procesar datos multimedia malformados en los formatos AVI, RTP, H.266, JPEG, ASF y RealMedia, así como subtítulos DVB-SUB. Dos problemas tienen una gravedad de 8.8 sobre 10 y el restante de 7.8. Ocho de las vulnerabilidades provocan escritura fuera de los límites del búfer y dos desbordamientos de enteros.
- CVE-2026-3085, CVE-2026-3083: Desbordamientos de búfer en el complemento rtp debido a la falta de tamaño adecuado y validación de datos al procesar campos RTP X-QDM.
- CVE-2026-2923 — Desbordamiento de búfer al procesar coordenadas incorrectas en subtítulos DVB-SUB.
- CVE-2026-3081 – Desbordamiento de búfer debido a una validación incorrecta de los tamaños de estructura al analizar el formato H.266 (VVC, codificación de video versátil).
- CVE-2026-3082 – Desbordamiento de búfer debido a la falta de comprobaciones de tamaño adecuadas al analizar tablas Huffman en imágenes JPEG.
- CVE-2026-2920 – Desbordamiento de búfer debido a la falta de comprobaciones de tamaño adecuadas al analizar los encabezados del contenedor multimedia ASF.
- CVE-2026-2922 – Desbordamiento de búfer debido a una validación de estructura incorrecta al analizar contenedores multimedia RealMedia.
- CVE-2026-2921 – Desbordamiento de enteros al analizar bloques RIFF con una paleta en archivos AVI.
- CVE-2026-3084 – Existe un desbordamiento de entero en la implementación del códec H.266 al analizar secciones de imágenes.
- CVE-2026-3086: Desbordamiento de búfer en la implementación del códec H.266 al analizar bloques APS.
La biblioteca GStreamer se utiliza para analizar archivos multimedia en Nautilus (Archivos de GNOME), Vídeos de GNOME y Rhythmbox, así como en el motor de búsqueda localsearch (anteriormente conocido como tracker-miners) desarrollado por el proyecto GNOME. Este motor se instala en muchas distribuciones como una dependencia del paquete tracker-extract, que GNOME utiliza para analizar automáticamente los metadatos de los archivos nuevos. Entre otras cosas, este servicio indexa todos los archivos del directorio personal del usuario sin su intervención. Por lo tanto, para ejecutar un ataque, basta con crear un archivo multimedia especialmente diseñado en el directorio del usuario, y la vulnerabilidad se explotará durante su indexación automática.
En la mayoría de las distribuciones de GNOME, los componentes de búsqueda local (mineros de seguimiento) están habilitados por defecto y se cargan como una dependencia estricta del administrador de archivos Nautilus (Archivos de GNOME). Sin embargo, a partir de GNOME 46, el proceso de búsqueda local se ejecuta en un entorno aislado. Para deshabilitar la extracción de metadatos, puede eliminar los archivos de reglas del directorio /usr/share/localsearch3/extract-rules/ o /usr/share/tracker3-miners/extract-rules/.
Las vulnerabilidades se corrigieron en la actualización 1.28.1 de GStreamer. El estado de las correcciones de vulnerabilidades en distribuciones específicas se puede consultar en las siguientes páginas (si una página no está disponible, significa que los desarrolladores de la distribución aún no han comenzado a investigar el problema): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora, FreeBSD.
Fuente: opennet.ru
