北京赛克艾威科技有限公司 2026-06-18
FFmpeg 是一款开源跨平台多媒体处理框架,集成编码、解码、转码、媒体流处理等全套音视频能力,libavcodec 是其核心编解码库,内置数百种音视频编解码器。该工具无平台限制,Windows、Linux、macOS、嵌入式设备均广泛部署,几乎所有视频播放器、媒体服务器、云转码服务、AI 多模态推理框架均将其作为底层依赖。MagicYUV 是一款无损专业视频编码,FFmpeg 默认编译启用该解码器,支持 AVI、MKV、MOV 三种主流封装格式解析,用于处理高清剪辑素材。大量 Linux 桌面环境依靠 FFmpeg 生成视频缩略图,媒体服务会自动扫描目录、提取视频元数据,无需用户主动播放文件即可触发解码流程。 该漏洞源于解码器在处理特定格式的 MagicYUV 视频流时,对色度平面(Chroma Plane)的切片高度计算存在缺陷,导致写入的数据超出了为色度平面分配的堆缓冲区边界。攻击者可利用该漏洞,通过构造恶意的 AVI/MKV/MOV 格式媒体文件,触发堆缓冲区越界写入,覆盖相邻堆内存中的 AVBuffer 结构体,劫持函数指针实现任意命令执行,或直接导致拒绝服务。
暂无