CVE-2021-21843

Biblioteca GPAC Project on Advanced Content, versão 1.0.1

O problema está relacionado à funcionalidade de decodificação MPEG-4, na qual uma entrada MPEG-4 especialmente criada pode causar um estouro de inteiro devido a operações aritméticas não verificadas, resultando em um estouro de buffer baseado na pilha que causa corrupção de memória. Isso ocorre quando a biblioteca multiplica a contagem pelo tamanho da estrutura GF SubsegmentRangeInfo, podendo levar a um estouro de inteiro em plataformas de 32 bits. Um invasor pode explorar essa vulnerabilidade convencendo um usuário a abrir um vídeo malicioso. A vulnerabilidade permite que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço.

Para a versão 1.0.1 da biblioteca GPAC Project on Advanced Content, considere desativar a funcionalidade de decodificação MPEG-4 até que um patch esteja disponível. Restrinja o acesso a vídeos de fontes não confiáveis para minimizar o risco de exploração. Como solução alternativa temporária, evite usar a biblioteca para decodificar conteúdo MPEG-4 até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.