一个名为 CVE-2026-8461 的严重安全漏洞(评分为 8.8/10)已在开源多媒体处理工具 FFmpeg 中被发现。该漏洞存在于 MagicYUV 解码器中,允许攻击者通过“堆缓冲区越界写入”的方式,在不经用户交互的情况下操纵视频文件,从而侵入用户的计算机系统。
令人担忧的是,攻击者无需用户手动打开视频文件即可利用此漏洞。许多网络附加存储(NAS)设备、下载工具以及视频播放软件会在下载完成后自动扫描文件或生成缩略图,这一过程足以在后台触发漏洞。
安全研究机构 JFrog 披露,Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 等多款知名软件均受到此漏洞影响。其中,Jellyfin 软件已证实可被用于远程代码执行。
FFmpeg 方面已迅速发布了版本 8.1.2 作为紧急修复。安全专家强烈建议所有用户和开发者立即更新至最新版本。对于暂时不需要 MagicYUV 解码器的用户,也可以选择在编译 FFmpeg 时将其禁用。
FFmpeg 作为全球应用最广泛的多媒体框架,为众多操作系统的应用程序提供支持,并且被集成到安防摄像头、智能电视和 NAS 等硬件设备的操作系统中。
