知名开源多媒体框架FFmpeg曝出高危漏洞|只需“看视频”就能被完全攻破系统

admin 2026-06-26 07:01:51 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: FFmpeg框架曝出CVSS8.8分高危漏洞CVE-2026-8461(PixelSmash),影响MagicYUV解码器的内存处理机制,可通过恶意视频文件实现零点击远程代码执行。漏洞波及主流媒体应用、云服务和IoT设备,攻击无需用户交互。建议立即升级至FFmpeg8.1.2版本并检查依赖应用更新。 综合评分: 85 文章分类: 漏洞分析,威胁情报,漏洞预警,解决方案,应急响应


cover_image

知名开源多媒体框架FFmpeg曝出高危漏洞 | 只需“看视频”就能被完全攻破系统

利刃信安

2026年6月24日 08:00 北京

在小说阅读器读本章

去阅读

以下文章来源于李白你好 ,作者助力行业的

李白你好 .

综合性的技术交流与资源共享社区 专注于红蓝对抗、渗透攻防、威胁情报、安全资讯分享。网络安全情报攻防站社区:www.libaisec.com

一句话总结:全球最流行的音视频处理框架FFmpeg曝出CVSS 8.8分高危漏洞CVE-2026-8461,攻击者只需一个恶意视频文件,无需用户任何操作即可远程控制你的电脑、服务器甚至智能电视。

一场“零点击”的噩梦

想象一下这个场景:你从网上下载了一部热门电影,还没来得及打开观看,只是把文件保存在电脑里,或者仅仅打开存放该文件的文件夹——你的电脑就已经被黑客完全控制了。

这不是科幻电影的情节,而是真实发生的安全事件。

2026年6月23日,FFmpeg官方发布了紧急安全更新8.1.2版本,修复了一个编号为CVE-2026-8461的严重漏洞。这个漏洞被安全公司JFrog的研究人员命名为 “PixelSmash” ,其CVSS严重性评分高达8.8分(满分10分) 。

更令人不安的是,利用这个漏洞不需要用户打开任何文件,也不需要点击任何链接——只要系统后台处理了恶意视频文件,攻击就可能发生。

漏洞是怎么发生的?

FFmpeg是全球部署最广泛的开源多媒体处理框架,几乎所有主流操作系统上的视频应用都依赖它来解码、编码、转码和播放视频。从桌面视频播放器、Linux缩略图生成器,到自托管的媒体服务器、云转码管道,甚至AI/ML数据处理流程,到处都有FFmpeg的身影。

漏洞出在FFmpeg的 MagicYUV无损视频编解码器解码器中。MagicYUV是一种用于高性能视频编辑工作流的编解码器。研究人员发现,该解码器在处理视频帧时存在一个四舍五入不匹配的问题。

具体来说:

  • MagicYUV将视频帧分割成水平切片进行处理;
  • 对于YUV420等格式,颜色信息的分辨率只有亮度信息的一半;
  • 解码器在处理颜色数据时需要将切片高度除以2;
  • 问题来了:当切片高度为奇数时,分配内存时向下取整,但写入数据时却向上取整,导致每一行切片都多出一行无处可去的数据。

如果视频帧宽度为1280像素,就会有640字节的数据被写入到本该属于解码器的内存缓冲区之外

更致命的是,紧邻解码器缓冲区的内存区域恰好是FFmpeg自己的 AVBuffer结构体——其中包含一个指向FFmpeg在清理时调用的函数的指针。攻击者可以通过精心构造的视频文件,覆盖这个指针,使其指向恶意代码,从而在系统清理资源时执行任意命令。研究人员已经成功利用该漏洞弹出反向shell,完全控制了目标系统。

谁会被影响?几乎所有人

FFmpeg的MagicYUV解码器默认在每一个上游构建中都是启用的。这意味着,任何依赖FFmpeg的应用程序都可能受到威胁。

JFrog的研究人员已经确认,以下应用存在崩溃风险或被成功攻破的可能:

| 类别 | 受影响应用 | | — | — | | 桌面播放器 | Kodi、mpv、VLC | | 媒体服务器 | Jellyfin、Emby、Plex | | 云存储/协作 | Nextcloud、Immich、PhotoPrism | | 直播/录屏 | OBS Studio | | 桌面环境 | GNOME、KDE、XFCE(缩略图生成器) |

研究人员更是在Jellyfin 10.11.9媒体服务器上实现了完整的远程代码执行,并在Nextcloud实例上通过电影预览缩略图生成功能成功入侵。

攻击路径:比你想象的更隐蔽

PixelSmash最可怕的地方在于它的攻击向量极其广泛,且完全不需要用户交互

桌面用户:打开恶意视频文件会触发漏洞;更糟的是,仅仅浏览到存放恶意文件的文件夹,Linux文件管理器的缩略图生成器就会自动处理该文件,触发漏洞。

服务器:用户上传视频文件到Jellyfin、Emby、Nextcloud等媒体服务器,或通过Slack、Discord、Telegram等聊天平台发送,甚至上传到AWS MediaConvert、Cloudflare Stream等云转码服务——服务器在后台自动处理时就会被攻破

嵌入式/IoT设备:NAS设备(如Synology、QNAP)、智能电视等设备在生成视频缩略图或预览时同样会触发漏洞。

整个攻击过程完全静默——在Web界面上,受害者只会看到一个通用文件图标,本该出现缩略图的地方空空如也。没有任何错误提示或弹窗,崩溃信息被埋在服务器日志中,而管理员通常不会监控这些日志。研究人员警告说,PixelSmash实现了 “最糟糕的故障模式” ——没有任何日志告诉运维人员服务器已经被入侵。

如何防范?

FFmpeg官方已发布紧急修复版本8.1.2。所有使用FFmpeg的个人用户、开发者和系统管理员应立即采取以下措施:

  1. 立即升级:将FFmpeg更新到8.1.2或更高版本。
  2. 编译时禁用:如果不需要MagicYUV解码器,可以在编译时将其禁用。
  3. 检查依赖:检查所有依赖FFmpeg的应用程序(包括视频播放器、媒体服务器、云服务等)是否已更新。

检查FFmpeg版本的方法:

ffmpeg -version
# Debian/Ubuntu
dpkg -l | grep ffmpeg
# RHEL/CentOS/Rocky/Alma
rpm -qa | grep ffmpeg
# Arch Linux
pacman -Qs ffmpeg

结语

PixelSmash漏洞的曝光再次提醒我们:开源软件的普及性本身就是一把双刃剑。FFmpeg作为全球应用最广泛的媒体处理框架,其任何一个漏洞都可能引发波及数十亿设备的连锁反应。

JFrog的研究表明,该漏洞的影响范围远远超出了传统的媒体应用,还延伸到AI框架、GPU加速数据加载管道等新兴领域。在这个万物互联的时代,一个看似无害的视频文件,可能就是黑客攻破你整个系统的钥匙。

立即更新,刻不容缓。

参考:https://nvd.nist.gov/vuln/detail/CVE-2026-8461 https://code.ffmpeg.org/FFmpeg/FFmpeg/pulls/23159

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:利刃信安 《知名开源多媒体框架FFmpeg曝出高危漏洞 | 只需“看视频”就能被完全攻破系统》

评论:0   参与:  0