注目lobsters2分
FFmpegに21件のゼロデイ脆弱性、15〜20年潜伏のRCEも確認
30秒で把握
- 1FFmpegでゼロデイ21件発見・うちRCEのPoC実証済み・8件にCVE割当
- 2発見コスト約$1k(Anthropic Mythosの10%)・脆弱性は15〜20年潜伏も
- 3TSデマクサ〜VP9デコーダ広範囲に影響・パッチ未適用環境は即時対応必須
要約
depthfirstの自律型セキュリティエージェントがFFmpegで21件のゼロデイ脆弱性を発見し、うち8件にCVEが割り当てられた。発見コストは約1,000ドルで、AnthropicがMythosモデルで費やした約10,000ドルの10%に抑えた。CVE-2026-39210(ヒープバッファオーバーフロー)やCVE-2026-39214(スタックバッファオーバーフロー)を含む複数の脆弱性は15〜20年間潜在していた。エージェントはRCE(リモートコード実行)の攻撃プリミティブを実証するPoCも開発しており、理論的な報告にとどまらず再現可能な入力で脆弱性を確認している。FFmpegはブラウザから大規模ストリーミング基盤まで世界中に広く展開されており、今回の発見はセキュリティ上の深刻なリスクを示す。
あなたへの影響
FFmpegを映像処理・変換パイプラインに組み込んでいるチームは、CVE-2026-39210〜39214を含む割り当て済みCVEへのパッチ適用状況を即日確認し、未適用なら優先的にアップデートを。
推奨:RCE起点になり得る脆弱性が含まれるため、外部からの非信頼メディアを処理する環境では特にサンドボックス化や入力検証の見直しも今スプリントで実施すべき。