详细内容或原文请订阅后点击阅览
PixelSmash 缺陷将视频文件变成攻击工具
研究人员发现了一个严重的 FFmpeg 缺陷,攻击者可以利用该缺陷利用恶意视频文件来破坏易受攻击的系统。
来源:Malwarebytes Labs 博客FFmpeg 的 MagicYUV 解码器中新发现的漏洞可以将微小的畸形视频变成攻击者的立足点。
研究人员披露了 FFmpeg MagicYUV 视频解码器中的 PixelSmash 严重漏洞,编号为 CVE-2026-8461,CVSS 评分为 8.8。
通过制作特殊格式的 AVI、MKV 或 MOV 文件,攻击者可以在任何试图生成缩略图、提取元数据或使用易受攻击的 FFmpeg 版本播放文件的系统上崩溃或潜在地运行代码。
FFmpeg 是什么?这很严重吗?
FFmpeg 是一个用于录制、转换和流式传输音频和视频的开源工具包,其 libavcodec 库实现了数百种音频和视频解码器。
其中之一是 MagicYUV,一种在视频编辑中流行的无损编解码器。 FFmpeg 的 MagicYUV 解码器中新发现的漏洞可以将微小的畸形视频变成攻击者的立足点。
通过制作特殊格式的 AVI、MKV 或 MOV 文件,攻击者可以在任何尝试生成缩略图、提取元数据或使用易受攻击的 FFmpeg 版本播放文件的系统上崩溃或潜在地执行代码。
其中之一是 MagicYUV,一种在视频编辑中流行的无损编解码器。研究人员发现,上游 FFmpeg 以及他们测试的直至 FFmpeg 9.0 的每个 Linux 发行包中都默认启用了该功能。
影响比你想象的要严重。如果您运行任何涉及视频的内容(从 Linux 桌面到 Jellyfin 或 Nextcloud 服务器,甚至是摄取剪辑的 AI 模型),您可能会在幕后依赖 FFmpeg。
很难准确计算有多少系统受到影响,但了解这一点会有所帮助: