IT之家 6 月 23 日消息,据外媒 Cybernews 今天报道,开源多媒体框架 FFmpeg 最近被曝出严重安全漏洞,黑客只需要利用恶意视频文件,就能导致系统崩溃并失去控制,进而远程执行恶意代码。
据报道,这组漏洞目前已被编号为 CVE-2026-8461,评分 8.8/10。黑客可利用 MagicYUV 中的“堆缓冲区越界写入(heap out-of-bounds write)”漏洞,篡改视频入侵系统。
同时,黑客甚至不需要用户主动打开视频文件就能入侵,因为大多数 NAS 系统、下载软件或视频软件会在 BT 种子下载完成后,自动扫描视频或生成预览图,这时就能在后台静默触发漏洞。
研究人员 JFrog(FROG) 指出,这项漏洞已经影响 Kodi、OBS Studio、Jellyfin、mpv、PhotoPrism 等软件,其中 Jellyfin 已经可以远程执行代码。
目前,FFmpeg 已经发布紧急修复版本 8.1.2。研究人员建议用户和开发者尽快升级最新版本,如果不需要 MagicYUV 解码器可以在编译时禁用。
IT之家注:FFmpeg 是全球应用最广泛的多媒体框架,被大部分操作系统的应用程序使用,并嵌入在安防(885423)摄像头、智能电视、NAS 等设备的操作系统中。
