是的，预览可能会执行恶意代码。通过检查文件类型并生成缩略图来创建预览。对于图像，它会调整它们的大小。对于视频，它会对其进行解码、查找并创建快照。对于 HTML 文件，它使用 WebKit 之类的东西呈现它们，并保存快照。虽然预览器不会故意执行代码，但如果这些复杂的解码器中的任何一个存在漏洞，它们就有可能被利用。

这是gstreamer的一个大问题，其中NSF 解码器中的漏洞导致任意代码执行。在其FLIC 解码器中发现了类似的问题。问题源于这样一个事实，即根据文件内容而不是文件扩展名选择要使用的解码器。因此，带有.mp3扩展名的文件实际上可能包含 NSF 文件。NSF 是 NES 音频格式，它被实现为 6502 字节码（是的，字节码）。NSF 文件通过在实际模拟器中运行并将输出转换为可播放的音频来播放。不幸的是，模拟器很复杂，这使得完全在 6502 字节码中的漏洞可以破坏 Ubuntu 安装。

虽然 gstreamer 是一个特例，但预览器能够通过导航到目录来解析各种格式的基本问题是一个令人讨厌的安全问题。如果您担心此威胁，应禁用预览/缩略图。

一个名为 的 NSF 文件，time_bomb.mp3利用 Ubuntu 系统上的预览打开xcalc：