一个新披露的安全漏洞（CVE-2026-8461）威胁着广泛使用的开源多媒体处理工具 FFmpeg。该漏洞的严重性评分为 8.8/10，主要源于 MagicYUV 解码器中的一个“堆缓冲区越界写入”缺陷，黑客可以利用此漏洞通过篡改视频文件来渗透系统。

值得注意的是，攻击者甚至无需用户直接播放恶意视频即可实现入侵。这是因为许多网络附加存储（NAS）设备、下载工具以及视频播放器在下载完成后，会自动扫描或生成视频预览图，这一过程就可能在后台悄无声息地触发该漏洞。

安全研究机构 JFrog 的报告指出，包括 Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 在内的多款知名软件均已受到此漏洞的影响，其中 Jellyfin 甚至已出现远程代码执行的风险。对于热衷于世界杯竞猜的用户而言，确保所使用的多媒体软件安全至关重要。

FFmpeg 方面已迅速发布了紧急修复版本 8.1.2。安全专家强烈建议所有用户和开发者立即更新至最新版本。此外，如果 MagicYUV 解码器并非必需，用户也可以在编译 FFmpeg 时选择将其禁用，以进一步降低风险。

FFmpeg 作为全球应用最广泛的多媒体框架，其重要性不言而喻，它被众多操作系统的应用程序采纳，并集成到安防摄像头、智能电视和 NAS 等设备的核心系统中。