据报道,这组漏洞目前已被编号为 CVE-2026-8461,评分 8.8/10。黑客可利用 MagicYUV 中的“堆缓冲区越界写入(heap out-of-bounds write)”漏洞,篡改视频入侵系统。
同时,黑客甚至不需要用户主动打开视频文件就能入侵,因为大多数 NAS 系统、下载软件或视频软件会在 BT 种子下载完成后,自动扫描视频或生成预览图,这时就能在后台静默触发漏洞。
安全机构 JFrog 指出,这项漏洞已经影响 Kodi、OBS Studio、Jellyfin、mpv、PhotoPrism 等软件,其中 Jellyfin 已经可以远程执行代码。
目前,FFmpeg 已经发布紧急修复版本 8.1.2。研究人员建议用户和开发者尽快升级最新版本,如果不需要 MagicYUV 解码器可以在编译时禁用。
https://www.ithome.com/0/967/699.htm https://cybernews.com/security/critical-ffmpeg-vulnerability-enables-complete-compromise/
覆盖版本呢?对于debian系的来说,库里的ffmpeg都是固定版本,未必有更新
Featured Collection
Popular Ranking
Popular Events
中文 
deepin deepin 
Copying folder - Not enough disk space? 
据报道,这组漏洞目前已被编号为 CVE-2026-8461,评分 8.8/10。黑客可利用 MagicYUV 中的“堆缓冲区越界写入(heap out-of-bounds write)”漏洞,篡改视频入侵系统。
同时,黑客甚至不需要用户主动打开视频文件就能入侵,因为大多数 NAS 系统、下载软件或视频软件会在 BT 种子下载完成后,自动扫描视频或生成预览图,这时就能在后台静默触发漏洞。
安全机构 JFrog 指出,这项漏洞已经影响 Kodi、OBS Studio、Jellyfin、mpv、PhotoPrism 等软件,其中 Jellyfin 已经可以远程执行代码。
目前,FFmpeg 已经发布紧急修复版本 8.1.2。研究人员建议用户和开发者尽快升级最新版本,如果不需要 MagicYUV 解码器可以在编译时禁用。
https://www.ithome.com/0/967/699.htm
https://cybernews.com/security/critical-ffmpeg-vulnerability-enables-complete-compromise/