기술 설명
보안 스타트업 Depthfirst는 2026년 6월 6일 자사의 자율 AI 보안 에이전트가 FFmpeg의 약 150만 줄 C 코드를 스캔하여 각각 재현 가능한 개념 증명 입력을 포함한 21개의 확인된 제로데이 취약점을 약 $1,000의 총 실행 비용으로 발견했다고 공개했습니다. 9개의 CVE가 할당되었으며 (CVE-2026-39210부터 CVE-2026-39218까지), 나머지 12개는 FFmpeg 유지보수자들에 의해 수정되었으나 번호가 할당되지 않았습니다. 취약점 유형으로는 힙 버퍼 오버플로우 (TS 디먹서, VP9 디코더, MP4 파서, swscale), 스택 버퍼 오버플로우 (SDT 핸들러, ffmpeg_opt.c 프리셋 처리), 정수 오버플로우 (swscale), HLS 디먹서, H264 슬라이스 처리 및 기타 경로의 범위 초과/해제 후 사용 변형이 포함됩니다. 가장 오래된 버그인 서비스 설명 테이블 (SDT) 파서의 스택 오버플로우는 2003년 코드까지 거슬러 올라가며 20년 이상의 퍼징과 수동 검토를 거쳤습니다. FFmpeg 유지보수자들은 반응이 좋으며 패치를 배포하고 있습니다.
공격 경로
조작된 미디어 파일, 악의적인 전송 스트림 (MPEG-TS), VP9 인코딩 비디오, 형식이 잘못된 MP4/HLS/RTMP 입력, 및 관련 파서/디먹서 경로를 대상으로 하는 방송 메타데이터 스트림. 외부에서 접근 가능한 미디어 수집 엔드포인트 (업로드 API, 스트리밍 수집, 브라우저 내장 FFmpeg)가 최우선입니다. $1,000의 비용 하한선은 이러한 발견 방식이 이제 국가 미만 자금 수준의 동기가 있는 위협 행위자들이 접근할 수 있음을 의미합니다.
영향받는 시스템
취약한 FFmpeg 빌드를 사용하는 모든 시스템: 비디오 스트리밍 플랫폼, 트랜스코딩 API, 브라우저 인접 도구, CI/CD 미디어 처리 작업, Python 비디오 휠, Docker 컨테이너 이미지, 모바일 앱, 임베디드 장치, 및 미디어를 처리하는 AI 학습 데이터 전처리 파이프라인. 일부 버그의 나이 (~23년)를 감안할 때, 영향을 받는 버전은 기본적으로 모든 과거 FFmpeg 릴리스를 포함합니다.
완화 방안
즉시: (1) 모든 외부 접근 가능한 미디어 처리 서비스에서 최신 패치된 FFmpeg 릴리스로 업데이트; (2) 트랜스코딩 워크로드를 샌드박싱하고 고가치 자격증명 및 네트워크로부터 격리; (3) 필요하지 않은 경우 경계에서 신뢰할 수 없는 MPEG-TS, HLS 및 RTMP 스트림을 차단하거나 검증; (4) SBOM을 통해 컨테이너 이미지 및 타사 공급업체의 임베디드 FFmpeg 버전 감사. 중기: AI 생성 취약점 보고서의 증가하는 양에 대한 패치 수집 및 심사 프로세스 준비 — 약 $1,000의 비용 하한선은 공개 양이 급격히 증가할 것을 의미합니다. FFmpeg 보안 페이지 및 NVD에서 추가 CVE 할당을 모니터링하십시오.