Penjelasan teknis
Agen keamanan AI otonom yang dioperasikan oleh depthfirst menemukan 21 kerentanan zero-day yang dikonfirmasi dalam 1,5 juta baris kode C FFmpeg. Mayoritas adalah heap dan stack overflows dalam parser dan demuxer (TS demuxer, VP9 decoder, H.264 parser, RTSP handler, service-description-table code). Satu stack overflow dalam service-description-table code berasal dari 2003 — 23 tahun dalam codebase. Depthfirst mempublikasikan proof-of-concept yang mendemonstrasikan primitive remote code execution ketika FFmpeg memproses aliran RTSP tertentu.
Vektor serangan
Remote: penyerang membuat aliran RTSP berbahaya atau file media yang menargetkan parser/demuxer FFmpeg yang rentan. FFmpeg tertanam di hampir semua pipeline pemrosesan media, server streaming, perangkat lunak pengeditan video, container, dan perangkat — attack surface sangat luas. PoC tersedia untuk publik.
Sistem yang terdampak
Versi FFmpeg sebelum commit yang dipatch (lihat halaman keamanan ffmpeg.org); secara luas mempengaruhi aplikasi apa pun yang menanamkan FFmpeg untuk parsing media — layanan streaming, node edge CDN, video conferencing, media player, container, dan perangkat IoT dengan kemampuan video.
Mitigasi
Terapkan patch keamanan FFmpeg yang sesuai dengan CVE-2026-39210 hingga CVE-2026-39218 dan perbaikan terkait yang tercantum di ffmpeg.org/security; prioritaskan endpoint RTSP yang terhubung ke internet mengingat PoC RCE yang telah diungkapkan secara publik; batasi pemrosesan FFmpeg dari input media yang tidak tepercaya di belakang sandbox; pantau ffmpeg.org/security untuk 12 kerentanan yang tersisa agar menerima nomor CVE.