关于 FFmpeg MagicYUV PixelSmash 解码器堆越界写入漏洞的预警通报
2026年06月29日
浏览量:
10
次 来源:
网络与教育技术中心
作者:
邱明杰
发布:
网络与教育技术中心
近日,工作发现最新漏洞威胁:FFmpeg MagicYUV PixelSmash 解码器堆越界写入漏洞
PixelSmash 是 FFmpeg libavcodec 中 MagicYUV 解码器的堆越界写入漏洞,关联文件为 libavcodec/magicyuv.c。问题出在 MagicYUV 分片高度与色度平面高度计算存在边界校验缺失,攻击者可构造恶意 AVI/MKV/MOV 等媒体文件,使目标应用在调用 FFmpeg 解码、生成缩略图、预览或转码时触发越界写入,造成进程崩溃,特定场景下可进一步实现远程代码执行。
目前受影响的FFmpeg版本:
FFmpeg < 8.1.21
FFmpeg官方已发布紧急修复版本8.1.2,请将将FFmpeg更新到最新版本
下载链接:
https://ffmpeg.org/download.html
https://ffmpeg.org/releases/ffmpeg-8.1.2.tar.xz
请各单位增强网络安全防护意识,立即排查产品使用情况,并督促指导受影响单位及时升级漏洞补丁,消除风险隐患。同时,加强网络安全监测,如发现遭攻击情况及时处置并报告
