기술 설명
depthfirst에서 운영하는 자율형 AI 보안 에이전트가 FFmpeg의 150만 줄 C 코드에서 21개의 확인된 제로데이 취약점을 발견했습니다. 대부분은 파서 및 디먹서(TS 디먹서, VP9 디코더, H.264 파서, RTSP 핸들러, 서비스 설명 테이블 코드)의 힙 및 스택 오버플로우입니다. 서비스 설명 테이블 코드의 한 스택 오버플로우는 2003년으로 거슬러 올라가며 코드베이스에 23년간 존재해 왔습니다. Depthfirst는 FFmpeg이 특정 RTSP 스트림을 처리할 때 원격 코드 실행 프리미티브를 보여주는 개념증명을 발표했습니다.
공격 경로
원격: 공격자가 취약한 FFmpeg 파서/디먹서를 겨냥하여 악의적인 RTSP 스트림 또는 미디어 파일을 제작합니다. FFmpeg은 거의 모든 미디어 처리 파이프라인, 스트리밍 서버, 비디오 편집 소프트웨어, 컨테이너 및 장치에 내장되어 있으므로 공격 표면이 매우 광범위합니다. PoC는 공개적으로 이용 가능합니다.
영향받는 시스템
패치된 커밋 이전의 FFmpeg 버전(ffmpeg.org 보안 페이지 참조); 미디어 파싱을 위해 FFmpeg을 내장하는 모든 애플리케이션에 광범위하게 영향을 미침 — 스트리밍 서비스, CDN 엣지 노드, 화상 회의, 미디어 플레이어, 컨테이너 및 비디오 기능이 있는 IoT 장치.
완화 방안
CVE-2026-39210부터 CVE-2026-39218까지 대응하는 FFmpeg 보안 패치 및 ffmpeg.org/security에 나열된 관련 수정 사항을 적용하십시오; 공개적으로 공개된 RCE PoC를 고려하여 인터넷 연결 RTSP 엔드포인트를 우선적으로 처리하십시오; FFmpeg 처리를 신뢰할 수 없는 미디어 입력 뒤의 샌드박스로 제한하십시오; 나머지 12개 취약점이 CVE 번호를 받을 때까지 ffmpeg.org/security을 모니터링하십시오.