CVE-2021-21861

GPAC Project on Advanced Content library versão 1.0.1

Existe uma vulnerabilidade explorável de truncamento de inteiros na funcionalidade de decodificação MPEG-4. Ao processar o código FOURCC ‘hdlr’, uma entrada MPEG-4 especialmente criada pode causar uma alocação incorreta de memória, resultando em um estouro de buffer baseado na pilha que provoca corrupção de memória. Um invasor pode convencer um usuário a abrir um vídeo para acionar essa vulnerabilidade, permitindo potencialmente que o invasor acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço.

Para a biblioteca GPAC Project on Advanced Content versão 1.0.1, considere desativar a funcionalidade de decodificação MPEG-4 até que um patch esteja disponível para impedir a exploração. Restrinja o acesso a vídeos que possam potencialmente acionar essa vulnerabilidade para minimizar o risco de corrupção de memória e comprometimento da integridade dos dados. Evite usar o código FOURCC ‘hdlr’ na funcionalidade de decodificação MPEG-4 afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.