开源多媒体处理工具 FFmpeg 近期爆出严重安全隐患，编号为 CVE-2026-8461，其危险评级为 8.8/10。该漏洞源于 MagicYUV 组件中的“堆缓冲区越界写入”缺陷，攻击者能够利用此漏洞修改视频内容，进而控制用户系统。

令人担忧的是，此次安全事件的攻击门槛极低，黑客无需用户交互即可实现入侵。许多网络附加存储（NAS）设备、下载工具以及视频播放软件，在下载 BT 种子完成后会自动扫描视频文件或生成缩略图，这一过程足以在后台静默地触发该漏洞。

安全研究公司 JFrog 披露，Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 等众多知名软件均受到此漏洞影响。值得注意的是，Jellyfin 已确认存在远程代码执行的风险。

FFmpeg 方面已迅速发布了紧急修复版本 8.1.2。安全专家强烈建议所有用户及开发者立即更新至最新版本。对于不需要 MagicYUV 解码器的用户，可以选择在编译 FFmpeg 时将其禁用，以规避潜在风险。

FFmpeg 作为全球应用最广泛的多媒体框架，其重要性不言而喻，广泛集成于各类操作系统应用，并被安防摄像头、智能电视、NAS 等设备内置。此次漏洞事件也引起了对网络安全，特别是涉及到如世界杯下注等需要安全环境的在线活动相关软件的关注。