Zhang Yaoliang

**Nome do Software Vulnerável e Versões Afetadas** HDF5 versão 1.14.6 **Descrição** Uma vulnerabilidade crítica foi encontrada no HDF5, afetando a função `H5Z scaleoffset decompress one byte` do componente Scale-Offset Filter. A manipulação leva a um estouro de buffer baseado em heap. O ataque requer acesso local. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado sobre um conjunto de vulnerabilidades, mas sua resposta foi rejeitar sem mais explicações. A existência real desta vulnerabilidade ainda é questionada no momento. **Recomendações** Como medida temporária, considere desativar a função `H5Z scaleoffset decompress one byte` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** HDF5 versão 1.14.6 **Descrição** Uma vulnerabilidade foi encontrada no HDF5 e classificada como crítica. Este problema afeta a função `H5T bit copy` do componente de Lógica de Conversão de Tipo. A manipulação leva a um estouro de buffer baseado em heap. É necessário acesso local para executar este ataque. O exploit foi divulgado ao público e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre um lote de vulnerabilidades, mas sua resposta foi rejeitar sem maiores explicações. **Recomendações** Como solução temporária, considere desabilitar a função `H5T bit copy` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** HDF5 version 1.14.6 **Description** A critical issue affects the function `H5MM strndup` of the component Metadata Attribute Decoder, leading to heap-based buffer overflow. The manipulation requires local attacking. The exploit has been disclosed to the public and may be used. The vendor plans to fix this issue in an upcoming release. **Recommendations** For HDF5 version 1.14.6, as a temporary workaround, consider disabling the `H5MM strndup` function until a patch is available.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Axiomatic Bento4 até a 1.6.0 **Descrição** Uma vulnerabilidade crítica foi identificada no Axiomatic Bento4, afetando a função (AP4 BitReader::ReadBits) do componente mp42aac. A manipulação resulta em um estouro de buffer baseado em heap. É possível iniciar o ataque remotamente. **Recomendações** Versões do Axiomatic Bento4 até a 1.6.0: Atualize para uma versão superior à 1.6.0 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Axiomatic Bento4 até 1.6.0 **Descrição** Uma vulnerabilidade crítica foi identificada no Axiomatic Bento4, afetando a função `AP4 StdcFileByteStream::ReadPartial` do componente mp42aac. Esta vulnerabilidade resulta em um estouro de buffer baseado em heap. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. A vulnerabilidade está relacionada à função `AP4 StdcFileByteStream::ReadPartial()` e está associada a um estouro de buffer na memória, o que pode permitir que um atacante remoto comprometa a confidencialidade, a integridade e a disponibilidade das informações protegidas. **Recomendações** Para as versões do Axiomatic Bento4 até 1.6.0, considere desabilitar a função `AP4 StdcFileByteStream::ReadPartial` como uma medida temporária até que um patch esteja disponível. Restrinja o acesso ao componente mp42aac para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.