技術的な説明
depthfirstによって運用される自律型AIセキュリティエージェントが、FFmpegの150万行のCコード内の21個の確認済みゼロデイ脆弱性を発見しました。大多数はパーサーとデマルチプレクサ(TSデマルチプレクサ、VP9デコーダー、H.264パーサー、RTSPハンドラー、サービス記述テーブルコード)のヒープおよびスタックオーバーフローです。サービス記述テーブルコード内の1つのスタックオーバーフローは2003年にさかのぼります—コードベースに23年間存在していました。Depthfirstは、FFmpegが特定のRTSPストリームを処理するときのリモートコード実行プリミティブを実証するプルーフオブコンセプトを公開しました。
攻撃経路
リモート:攻撃者が、脆弱なFFmpegパーサー/デマルチプレクサをターゲットとした悪意あるRTSPストリームまたはメディアファイルを作成します。FFmpegはほぼすべてのメディア処理パイプライン、ストリーミングサーバー、ビデオ編集ソフトウェア、コンテナ、およびデバイスに組み込まれています—攻撃面は非常に広いです。PoCは公開利用可能です。
影響を受けるシステム
パッチされたコミット前のFFmpegバージョン(ffmpeg.orgセキュリティページを参照);FFmpegをメディア解析用に組み込むあらゆるアプリケーション—ストリーミングサービス、CDNエッジノード、ビデオ会議、メディアプレーヤー、コンテナ、およびビデオ機能を備えたIoTデバイスに広く影響します。
緩和策
CVE-2026-39210からCVE-2026-39218に対応するFFmpegセキュリティパッチとffmpeg.org/securityにリストされた関連する修正を適用してください;公開されたRCE PoCを踏まえて、インターネット向けのRTSPエンドポイントを優先してください;信頼できないメディア入力のFFmpeg処理をサンドボックスの背後に制限してください;CVE番号を受け取るために残りの12の脆弱性についてffmpeg.org/securityを監視してください。