开源多媒体框架 FFmpeg 被曝高危漏洞：播放恶意视频可致系统被黑客控制，官方已修复 - 2026世界杯

多个与 FFmpeg 相关的安全漏洞已被披露，其中一个编号为 CVE-2026-8461，被评为 8.8/10 的高危级别。攻击者可以利用 MagicYUV 组件中的“堆缓冲区越界写入”缺陷，通过恶意视频文件来控制用户系统。

值得注意的是，此次漏洞的利用无需用户手动打开受感染的视频文件。因为许多网络附加存储（NAS）设备、下载工具以及视频播放软件，在完成 BT 种子下载后，会自动扫描视频文件或生成缩略图，这一过程便可能在后台触发漏洞。

安全研究公司 JFrog 证实，Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 等众多软件均受到此漏洞影响。其中，Jellyfin 已被发现可被用于远程代码执行。

FFmpeg 方面已发布了紧急补丁版本 8.1.2 进行修复。研究人员强烈建议所有用户和开发者立即更新至最新版本。此外，如果 MagicYUV 解码器并非必需，开发者可以选择在编译时将其禁用。

FFmpeg 作为一款应用极其广泛的多媒体处理框架，被众多操作系统的应用程序所采用，并且被集成到安防摄像头、智能电视和 NAS 等设备的操作系统中。