在 VLC 中打开可疑的视频文件,使用 Jellyfin 或 Kodi 进行流媒体播放,甚至根本不要打开它。仅仅是存储它就可能让你遭受攻击,因为 Linux 文件管理器会生成缩略图。FFmpeg(一款广受欢迎的开源视频处理引擎)中的一个严重漏洞使得攻击者能够轻松地使系统崩溃,在最糟糕的情况下,甚至可以运行恶意代码。
FFmpeg 发布了新版本 8.1.2,其中包含针对其 MagicYUV 无损视频编解码器中一个严重漏洞的紧急补丁。该堆越界写入漏洞的严重程度评分为 8.8 分(满分 10 分),漏洞编号为 CVE-2026-8461。
这意味着黑客可以利用篡改过的视频文件来入侵系统,其潜在影响非常巨大。
FFmpeg 是世界上应用最广泛的媒体处理框架,几乎所有主流操作系统上的应用程序都在使用它,并且它还嵌入在无数设备中,从监控摄像头到智能电视,无所不包。正如维护者们所描述的那样,FFmpeg 可以用来解码、编码、转码、流式传输和播放“几乎所有人类和机器创造的内容”。
发现该漏洞的软件安全公司 JFrog 的安全研究人员表示,只需处理一个恶意媒体文件即可实现远程执行。
研究人员在报告中警告开发者:“建议 FFmpeg 用户尽快升级到修复版本。如果不需要 MagicYUV 解码器,可以在构建时禁用它。”
这些攻击手段既可以针对用户,也可以针对服务器端系统,包括嵌入式/物联网设备,例如 NAS 和智能电视。攻击者无需任何身份验证或特殊权限,只需发送一个媒体文件即可。
在某些情况下,攻击甚至无需用户交互。例如,通过种子下载的恶意视频文件会被 Jellyfin 等媒体服务器自动接收,或被 Nextcloud 处理生成预览,或被 Linux 文件管理器扫描生成缩略图。所有这些操作都无需用户打开实际文件。
JFrog 将该漏洞命名为“PixelSmash”,并警告说其潜在影响范围非常巨大。
报告指出:“FFmpeg 的 libavcodec 是媒体解码的标准库,几乎所有涉及视频的应用程序都将其作为传递依赖项嵌入其中。MagicYUV 解码器在每个上游版本中默认启用。”
这个漏洞是如何运作的?
您的多个设备和应用程序很可能已经嵌入了 FFmpeg。FFmpeg 包含一个名为“libavcodec”的库,其中包含数百种视频和音频编解码器。
通常情况下,解码器解析视频数据并将解码后的像素写入专用内存空间——堆分配的帧缓冲区。
研究人员发现,用于高性能视频编辑工作流程的编解码器 MagicYUV 的解码器存在舍入误差。
MagicYUV 将视频帧分割成水平切片。某些视频格式,例如 YUV420,为了节省空间,会将颜色信息存储在亮度分量分辨率的一半处,因为人眼对亮度的敏感度远高于亮度分量。解码器在处理颜色数据时,必须将切片高度除以 2。
然而,如果高度是奇数,除以 2 会得到一个分数,而代码的不同部分对这个分数的处理方式不同。解码器分配内存缓冲区时会向下取整,但写入数据时会向上取整,导致每个切片都多出一行无处存放。
如果视频帧宽度为 1280 像素,则会有 640 字节的数据写入内存缓冲区之外。
攻击者可以利用这一点,完全控制哪些字节被写入到解码器不应该访问的内存中。
解码器缓冲区之后的内存是 FFmpeg 自己的 AVBuffer 结构体,一个包含指向 FFmpeg 在清理期间调用的函数的指针的数据结构。
攻击者可以覆盖此指针,并从内存的其他部分执行任意代码。研究人员通过生成一个运行攻击者命令的 shell 来演示该漏洞,最终导致系统完全被攻陷。
被黑客攻击的方式有很多种
安全研究人员演示了几个可以利用该漏洞导致系统崩溃或完全瘫痪的场景。
“我们确认了 Kodi、mpv、ffmpegthumbnailer(GNOME、KDE、XFCE 使用)、Jellyfin、Emby、Nextcloud、Immich、PhotoPrism 和 OBS Studio 等软件存在崩溃问题,并演示了针对 Jellyfin 的完整远程代码执行,”JFrog 漏洞研究团队负责人 Yuval Moravchick 解释道。
攻击者可以选择流行的视频容器,例如 AVI、MKV 或 MOV,并将精心制作的文件伪装成流行的电影或短片发布,以欺骗受害者。
- 桌面用户:可以通过在视频播放器中打开恶意文件,或者简单地浏览到包含该文件的文件夹(文件管理器的缩略图生成器会触发此漏洞)来受到攻击。
- 服务器:当用户将文件上传到媒体服务器(Jellyfin、Emby、Nextcloud、Immich)、聊天平台(Slack、Discord、Telegram)或云端转码服务(AWS MediaConvert、Cloudflare Stream)时,服务器可能面临安全风险——因为服务器会自动处理这些文件。
- 嵌入式/物联网设备:也可能被黑客攻击。NAS 设备(如 Synology、QNAP)、智能电视或媒体设备会生成视频缩略图或预览。
JFrog 在报告中表示:“我们通过 Jellyfin 10.11.9 媒体服务器(第二大最受欢迎的自托管媒体服务器,仅次于 Plex)的正常媒体库扫描流程,实现了对 Jellyfin 10.11.9 媒体服务器的完整远程代码执行。”
他们还通过电影预览入侵了 Nextcloud 实例,调用系统自带的 ffmpeg 生成缩略图。
研究人员表示:“这种攻击完全悄无声息。在网页界面上,唯一的提示是本应显示缩略图的地方却显示为一个通用的文件图标。不会有任何错误提示或弹出窗口提醒用户,而由此导致的崩溃则隐藏在服务器端日志中,这些日志通常不会被管理员监控。”
该报告警告说,PixelSmash 会导致“最糟糕的故障模式”,没有任何日志告诉操作员服务器已被积极利用。
该漏洞的影响范围远远超出传统媒体应用程序,任何使用 FFmpeg 的软件都会受到影响,包括 AI 框架、GPU 加速的数据加载管道等等。
本文来自作者投稿,版权归原作者所有。如需转载,请注明出处:https://www.nxrte.com/zixun/68551.html
