一个名为 CVE-2026-8461 的严重安全漏洞(评分为 8.8/10)已在开源多媒体框架 FFmpeg 中被发现。该漏洞存在于 MagicYUV 解码器中,允许攻击者利用“堆缓冲区越界写入”的缺陷来修改视频内容,进而控制用户系统。
更令人担忧的是,此次漏洞的利用无需用户直接打开视频文件。许多网络附加存储(NAS)设备、下载工具以及其他视频播放软件在完成文件下载后,会自动扫描视频文件或生成预览图,而这一过程就可能在后台静默地触发该漏洞。
根据研究机构 JFrog 的报告,Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 等多款知名软件均受到此漏洞影响。其中,Jellyfin 软件已经出现了远程代码执行的可能性。
FFmpeg 方面已紧急发布了版本 8.1.2 来修复此漏洞。研究人员强烈建议所有用户和开发者立即更新到最新版本。另外,如果 MagicYUV 解码器并非必需,用户也可以选择在编译 FFmpeg 时将其禁用。
作为全球应用最广泛的多媒体处理框架,FFmpeg 被众多操作系统的应用程序所依赖,并广泛集成在安防摄像头、智能电视和 NAS 等硬件设备的操作系统中。
| 主队 | 比分 | 客队 | 联赛 | 时间(北京) |
|---|---|---|---|---|
| 近期暂无比赛,请稍后再来查看。 | ||||