В мультимедийном фреймворке GStreamer, используемом в GNOME, выявлено 10 уязвимостей, все из которых помечены как допускающие удалённое выполнение кода при обработке некорректно оформленных мультимедийных данных в форматах AVI, RTP, H.266, JPEG, ASF и RealMedia, а также субтитров DVB-SUB. Двум проблемам присвоен уровень опасности 8.8 из 10, а остальным 7.8. Восемь уязвимостей приводят к записи данных за пределы буфера, а две к целочисленному переполнению.

• CVE-2026-3085, CVE-2026-3083 - переполнения буфера в плагине rtp, возникающее из-за отсутствия должной проверки размера и данных при обработке полей X-QDM RTP.
• CVE-2026-2923 - переполнение буфера при обработке некорректных координат в субтитрах DVB-SUB.
• CVE-2026-3081 - переполнение буфера из-за некорректной проверки размера структур при разборе формата H.266 (VVC, Versatile Video Coding).
• CVE-2026-3082 - переполнение буфера из-за отутствия должных проверок размера при разборе таблиц Хаффмана в изображениях JPEG.
• CVE-2026-2920 - переполнение буфера из-за отсутствия должных проверок размера при разборе заголовков мультимедийных контейнеров в формате ASF.
• CVE-2026-2922 - переполнение буфера из-за некорректной проверки структур при разборе мультимедийных контейнеров в формате RealMedia.
• CVE-2026-2921 - целочисленное переполнение при разборе RIFF-блоков с палитрой в файлах AVI.
• CVE-2026-3084 - целочисленное переполнение в реализвции кодека H.266 при разборе секций с изображениями.
• CVE-2026-3086 - переполнение буфера в реализвции кодека H.266 при разборе APS-блоков.

Библиотека GStreamer применяется для разбора мультимедийных файлов в приложениях Nautilus (GNOME Files), GNOME Videos и Rhythmbox, а также в развиваемом проектом GNOME поисковом движке localsearch (ранее назывался tracker-miners). Данный движок устанавливается во многих дистрибутивах в качестве зависимости к пакету tracker-extract, применяемому в GNOME для автоматического разбора метаданных в новых файлах. Среди прочего, указанный сервис индексирует все файлы в домашнем каталоге без каких-либо действий со стороны пользователя. Таким образом, для атаки достаточно добиться появления в каталоге пользователя специально созданного мультимедийного файла и уязвимость будет эксплуатирована во время его автоматической индексации.

В большинстве дистрибутивов с GNOME компоненты localsearch (tracker-miners) активируются по умолчанию и загружаются как жёсткая зависимость к файловому менеджеру Nautilus (GNOME Files). При этом начиная c GNOME 46 процесс localsearch запускается с использованием sandbox-изоляции. Для отключения извлечения метаданных можно удалить файлы с правилами из каталога /usr/share/localsearch3/extract-rules/ или /usr/share/tracker3-miners/extract-rules/.

Уязвимости устранены в обновлении GStreamer 1.28.1. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora, FreeBSD.