一个近期披露的安全漏洞,被赋予了编号 CVE-2026-8461,其严重性评分为 8.8/10,影响了广泛使用的开源多媒体框架 FFmpeg。该漏洞源于 MagicYUV 解码器中的“堆缓冲区越界写入”缺陷,可能被恶意利用来操纵视频内容,从而使黑客能够控制受影响的系统。
值得警惕的是,攻击者无需用户直接播放视频即可发动攻击。许多网络附加存储(NAS)设备、下载工具以及视频播放软件,在完成 BT 种子下载后,会自动扫描视频文件或生成预览图像。这一自动化过程可能在后台静默触发该漏洞,为黑客提供了入侵途径。
安全研究机构 JFrog 的分析表明,Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 等知名软件均受到此漏洞的影响。其中,Jellyfin 已经曝出可被用于远程执行代码。对于关注体育赛事的用户而言,即使是在世界杯买球网等平台上观看视频,也可能存在潜在风险。
FFmpeg 官方已紧急发布了版本 8.1.2 进行修复。研究人员强烈建议所有用户和开发者立即更新至最新版本。此外,如果 MagicYUV 解码器并非必需,开发者也可以在编译 FFmpeg 时选择将其禁用,以进一步降低风险。
FFmpeg 作为全球应用最广泛的多媒体处理框架,渗透到绝大多数操作系统的应用程序中,并且被集成到安防摄像头、智能电视、NAS 等多种设备的核心系统中。


