기술 설명
depthfirst에서 운영하는 자율 AI 보안 에이전트가 FFmpeg의 150만 줄 C 코드에서 21개의 확인된 제로데이 취약점을 발견했습니다. 대부분은 파서와 디먹서(TS 디먹서, VP9 디코더, H.264 파서, RTSP 핸들러, 서비스 설명 테이블 코드)의 힙 및 스택 오버플로우입니다. 서비스 설명 테이블 코드의 한 스택 오버플로우는 2003년부터 존재하며, 코드베이스에 23년간 남아있었습니다. Depthfirst는 FFmpeg이 특정 RTSP 스트림을 처리할 때 원격 코드 실행 프리미티브를 입증하는 개념 증명을 공개했습니다.
공격 경로
원격: 공격자가 취약한 FFmpeg 파서/디먹서를 대상으로 하는 악성 RTSP 스트림 또는 미디어 파일을 작성합니다. FFmpeg은 거의 모든 미디어 처리 파이프라인, 스트리밍 서버, 비디오 편집 소프트웨어, 컨테이너 및 장치에 내장되어 있으므로 공격 표면이 매우 넓습니다. PoC는 공개적으로 이용 가능합니다.
영향받는 시스템
패치된 커밋 이전의 FFmpeg 버전(ffmpeg.org 보안 페이지 참조); FFmpeg을 미디어 파싱에 내장하는 모든 애플리케이션에 광범위하게 영향 — 스트리밍 서비스, CDN 엣지 노드, 비디오 컨퍼런싱, 미디어 플레이어, 컨테이너 및 비디오 기능이 있는 IoT 장치.
완화 방안
CVE-2026-39210부터 CVE-2026-39218까지의 FFmpeg 보안 패치 및 ffmpeg.org/security에 나열된 관련 수정사항 적용; 공개적으로 공개된 RCE PoC가 있으므로 인터넷에 노출된 RTSP 엔드포인트 우선 처리; 샌드박스 뒤에서 신뢰할 수 없는 미디어 입력의 FFmpeg 처리 제한; 나머지 12개 취약점의 CVE 번호 할당에 대해 ffmpeg.org/security 모니터링.