安全研究人员披露了一系列影响广泛的开源多媒体处理工具 FFmpeg 的严重安全缺陷,编号为 CVE-2026-8461,其评级高达 8.8/10。攻击者可以利用 MagicYUV 解码器中的“堆缓冲区溢出写入”缺陷,通过特制视频文件来控制目标系统。
值得注意的是,此次披露的漏洞无需用户直接交互即可被触发。许多网络附加存储(NAS)设备、下载工具以及视频播放软件在完成文件下载后,会自动扫描或生成视频预览,这一过程可能在后台静默地激活该漏洞,从而允许黑客入侵。
安全公司 JFrog 的分析显示,Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 等知名软件均受到此漏洞的影响。其中,Jellyfin 软件甚至已暴露远程代码执行的能力。
FFmpeg 官方已紧急发布了版本 8.1.2 来修补这些漏洞。安全专家强烈建议所有用户和开发者立即更新至最新版本。对于不依赖 MagicYUV 解码器的用户,也可选择在编译 FFmpeg 时将其禁用,以规避风险。
FFmpeg 作为全球最常用的多媒体处理库,其广泛性体现在其被集成到众多操作系统应用中,同时也是安防摄像头、智能电视、NAS 等设备底层操作系统的关键组件。此次漏洞的披露也引发了对在各种设备上运行的软件安全性的广泛关注,尤其是在即将到来的足球世界杯期间,对流媒体和视频处理的需求将大幅增加,潜在风险不容忽视。
