网络安全

当前位置: 首页  网络安全

关于 FFmpeg MagicYUV PixelSmash 解码器堆越界写入漏洞的预警通报

2026年06月29日 浏览量: 10 来源: 网络与教育技术中心 作者: 邱明杰 发布: 网络与教育技术中心

近日,工作发现最新漏洞威胁:FFmpeg MagicYUV PixelSmash 解码器堆越界写入漏洞


PixelSmash 是 FFmpeg libavcodec 中 MagicYUV 解码器的堆越界写入漏洞,关联文件为 libavcodec/magicyuv.c。问题出在 MagicYUV 分片高度与色度平面高度计算存在边界校验缺失,攻击者可构造恶意 AVI/MKV/MOV 等媒体文件,使目标应用在调用 FFmpeg 解码、生成缩略图、预览或转码时触发越界写入,造成进程崩溃,特定场景下可进一步实现远程代码执行。


目前受影响的FFmpeg版本:

FFmpeg < 8.1.21


FFmpeg官方已发布紧急修复版本8.1.2,请将将FFmpeg更新到最新版本

下载链接:

https://ffmpeg.org/download.html

https://ffmpeg.org/releases/ffmpeg-8.1.2.tar.xz



请各单位增强网络安全防护意识,立即排查产品使用情况,并督促指导受影响单位及时升级漏洞补丁,消除风险隐患。同时,加强网络安全监测,如发现遭攻击情况及时处置并报告