FFmpegMagicYUV漏洞威胁媒体应用程序

admin 2026-06-30 10:37:42 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: JFrog在FFmpeg的MagicYUV解码器中发现CVE-2026-8461堆越界写入漏洞,CVSS评分8.8。攻击者可通过恶意视频文件实现任意代码执行,影响Jellyfin、Nextcloud等数百个应用。建议立即升级至FFmpeg8.1.2或使用–disable-decoder=magicyuv编译选项,JFrog官网提供七行补丁代码用于应急防护。 综合评分: 85 文章分类: 漏洞分析,威胁情报,应急响应,解决方案,漏洞预警


cover_image

FFmpeg MagicYUV 漏洞威胁媒体应用程序

sec随谈 sec随谈

sec随谈

2026年6月26日 10:01 北京

在小说阅读器读本章

去阅读

摘要

JFrog 研究人员在 FFmpeg 的 MagicYUV 解码器中发现了一个严重的堆越界写入漏洞。该漏洞编号为 CVE-2026-8461,CVSS 评分为 8.8。这个 FFmpeg MagicYUV 漏洞允许攻击者通过提供精心构造的视频文件来执行任意代码。管理员必须立即修补,以防止零点击(zero-click)服务器入侵。

为何重要

FFmpeg 为全球数百款应用程序处理媒体内容。该软件是桌面播放器、媒体服务器和云端处理流水线的基础依赖项。一个恶意文件即可在无需用户交互的情况下入侵 Jellyfin 或 Nextcloud 等系统。研究人员使用一个仅 50 KB 的 AVI 文件演示了这一危险。这一供应链漏洞使数百万用户端点和服务器面临风险。报告指出,该越界写入足以让任何使用 FFmpeg 的应用程序崩溃。因此,即使应用程序没有明显崩溃,静默的堆内存损坏也可能已经发生。

攻击原理

该问题源于 MagicYUV 解码器内部的舍入计算不匹配。在处理二次采样(subsampled)像素格式时,它未能正确计算色度平面(chroma plane)的高度。一个奇数的切片高度(slice height)值会迫使解码器写入超出已分配缓冲区的范围。这一操作将攻击者可控的字节写入相邻的内存空间。攻击者借此覆盖相邻的 AVBuffer 结构体。具体而言,他们劫持了 AVBuffer 的释放(free)函数指针,并将该指针重定向以执行任意 shell 命令。最终,主机系统会在例行的内存清理过程中运行攻击者的载荷。

受影响版本

该漏洞影响所有 8.1.2 版本之前的上游 FFmpeg 构建版本。MagicYUV 解码器在各大 Linux 发行版中默认处于启用状态。下游应用程序会静默地继承这一漏洞。受影响的平台包括 Jellyfin、Emby、Nextcloud、GNOME 缩略图生成器,以及 vLLM 等 AI 框架。研究人员估计有数百个软件项目依赖于这一存在漏洞的组件。目前,研究人员已针对 Jellyfin 和 Nextcloud 构建了公开的概念验证(PoC)漏洞利用代码。不过,尚无来源证实存在在野利用活动。

补丁与缓解措施

用户和管理员必须将 FFmpeg 升级到 8.1.2 或更高版本。如果无法立即升级,开发者可以从源代码重新编译 FFmpeg。你应在构建过程中使用 --disable-decoder=magicyuv 标志,以彻底消除该威胁。JFrog 还提供了一个仅七行代码的最小化补丁,用于验证切片高度并拦截恶意文件。你可以在 JFrog 安全研究博客上阅读完整的技术细节并获取补丁。网络防御人员应监控媒体库目录,留意是否出现未经授权的可执行文件。

参考链接:

PixelSmash – Critical FFmpeg Vulnerability Turns Media Files into Weapons


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:sec随谈 sec随谈 sec随谈《FFmpeg MagicYUV 漏洞威胁媒体应用程序》

评论:0   参与:  0