Penjelasan teknis
Agen keamanan AI otonom yang dioperasikan oleh depthfirst menemukan 21 kerentanan zero-day yang dikonfirmasi dalam 1,5 juta baris kode C FFmpeg. Mayoritas adalah heap dan stack overflows dalam parsers dan demuxers (TS demuxer, VP9 decoder, H.264 parser, RTSP handler, service-description-table code). Satu stack overflow dalam service-description-table code berasal dari 2003 — 23 tahun dalam codebase. Depthfirst menerbitkan proof-of-concept yang mendemonstrasikan primitif eksekusi kode jarak jauh ketika FFmpeg memproses RTSP streams tertentu.
Vektor serangan
Remote: penyerang membuat RTSP stream atau media file berbahaya yang menargetkan FFmpeg parser/demuxer yang rentan. FFmpeg tertanam dalam hampir semua pipeline pemrosesan media, streaming servers, perangkat lunak pengeditan video, containers, dan devices — permukaan serangan sangat luas. PoC tersedia secara publik.
Sistem yang terdampak
Versi FFmpeg sebelum commits yang dipatch (lihat halaman keamanan ffmpeg.org); secara luas mempengaruhi aplikasi apa pun yang menyematkan FFmpeg untuk media parsing — layanan streaming, node edge CDN, video conferencing, media players, containers, dan perangkat IoT dengan kemampuan video.
Mitigasi
Terapkan patch keamanan FFmpeg yang sesuai dengan CVE-2026-39210 hingga CVE-2026-39218 dan perbaikan terkait yang tercantum di ffmpeg.org/security; prioritaskan endpoint RTSP yang menghadap internet mengingat RCE PoC yang telah diumumkan secara publik; batasi pemrosesan FFmpeg dari media input yang tidak dipercaya di belakang sandboxes; pantau ffmpeg.org/security untuk 12 kerentanan yang tersisa untuk menerima nomor CVE.