开源多媒体处理工具 FFmpeg 被披露存在严重安全隐患，其播放特制视频文件可能导致系统被攻击者完全掌控。该漏洞已被分配编号 CVE-2026-8461，安全评级为 8.8/10。攻击者可以利用 MagicYUV 解码器中的“堆缓冲区溢出写入”缺陷，通过恶意修改的视频文件来渗透系统。

特别值得注意的是，此次攻击的隐蔽性极高，攻击者无需用户交互即可发起入侵。这是因为许多网络附加存储（NAS）设备、下载工具以及视频播放软件在完成 BT 文件下载后，会自动扫描视频内容或生成预览图，这一过程便可能在后台悄无声息地触发该漏洞。

安全研究机构 JFrog 强调，这一安全漏洞已波及包括 Kodi、OBS Studio、Jellyfin、mpv 和 PhotoPrism 在内的众多知名软件。其中，Jellyfin 软件已经出现了远程代码执行的可能性。

FFmpeg 方面已紧急发布了包含安全修复的 8.1.2 版本。安全专家强烈建议所有用户和开发者立即更新至最新版本。对于不使用 MagicYUV 解码器的用户，可以选择在编译 FFmpeg 时将其禁用，以规避风险。

FFmpeg 作为全球范围内应用最广泛的多媒体处理库，被众多操作系统的应用程序所集成，并且广泛应用于安防摄像头、智能电视、NAS 等硬件设备的操作系统中。鉴于其广泛的部署，此次漏洞的修复至关重要，也提醒了用户在关注世界杯竞猜等娱乐活动的同时，也要重视软件安全更新。