CVE-2021-21851

Biblioteca GPAC Project on Advanced Content, versão 1.0.1

O problema está relacionado à funcionalidade de decodificação MPEG-4 da biblioteca GPAC Project on Advanced Content. Uma entrada MPEG-4 especialmente criada nos índices de descrição do grupo de amostras do decodificador “csgp” pode causar um estouro de inteiro devido a aritmética não verificada, resultando em um estouro de buffer baseado em heap que causa corrupção de memória. Isso pode ser acionado quando um usuário abre um vídeo. Um invasor pode explorar isso para obter acesso a dados confidenciais, comprometer sua integridade e causar uma negação de serviço.

Para a biblioteca GPAC Project on Advanced Content versão 1.0.1, considere desativar a funcionalidade dos índices de descrição do grupo de amostras do decodificador csgp até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à funcionalidade de decodificação MPEG-4 para minimizar o risco de exploração. Evite usar o decodificador csgp com entradas não confiáveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.