近日，广受欢迎的开源多媒体处理工具 FFmpeg 被披露存在严重安全隐患，编号为 CVE-2026-8461，评分为 8.8（满分 10）。该漏洞存在于 MagicYUV 组件中，攻击者可以利用“堆缓冲区越界写入”的缺陷，通过精心构造的视频文件来控制用户系统。

更令人担忧的是，攻击者甚至无需受害者手动播放视频便可实现入侵。许多网络附加存储（NAS）设备、下载工具以及视频播放软件，在完成 BT 文件下载后，会自动扫描视频文件或生成预览，这一过程便可能在后台静默地触发该漏洞。

安全研究机构 JFrog 的报告指出，包括 Kodi、OBS Studio、Jellyfin、mpv、PhotoPrism 在内的多款知名软件均受到此次漏洞的影响。其中，Jellyfin 已经出现了远程代码执行的可能性。

FFmpeg 官方已迅速响应，发布了紧急修复版本 8.1.2。研究人员强烈建议所有用户及开发者立即更新至最新版本。若 MagicYUV 解码器并非必需，则可以在编译 FFmpeg 时选择禁用，以进一步降低风险。值得一提的是，FFmpeg 作为全球应用最广泛的多媒体框架，广泛集成于各类操作系统应用，并被安防摄像头、智能电视、NAS 等设备所采用。对于关注世界杯直播的用户来说，确保所使用的播放器和相关软件更新至最新版本，是保障数字安全的重要一环。