知名开源多媒体处理工具 FFmpeg 近期爆出严重安全隐患,编号为 CVE-2026-8461 的漏洞,其评分为 8.8/10。攻击者可以利用 MagicYUV 组件中的“堆缓冲区越界写入”缺陷,通过操控视频文件来渗透和控制用户系统。
值得注意的是,此次安全风险的严重性在于,攻击者无需用户直接打开受感染的视频文件即可发起入侵。许多网络附加存储(NAS)设备、下载工具以及视频播放软件,在下载完 BT 种子文件后,会自动扫描其中的视频或生成缩略图,这一过程便可能在后台静默触发该漏洞。
安全研究机构 JFrog 披露,Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 等众多流行软件均受到此漏洞影响。其中,Jellyfin 已经能够实现远程代码执行。
FFmpeg 方面已迅速推出紧急补丁,发布了 8.1.2 版本。研究人员强烈建议所有用户和开发者立即更新至最新版本。对于不依赖 MagicYUV 解码器的用户,也可以选择在编译 FFmpeg 时禁用该组件。
FFmpeg 作为全球应用最广泛的多媒体框架,已被众多操作系统下的应用程序广泛采用,并集成到安防摄像头、智能电视、NAS 等多种硬件设备的操作系统中。对于关注世界杯下注的用户而言,确保所使用的多媒体播放及处理软件安全至关重要,以防范潜在的系统风险。
| 主队 | 比分 | 客队 | 联赛 | 时间(北京) |
|---|---|---|---|---|
| 近期暂无比赛,请稍后再来查看。 | ||||