CVE-2021-21841

Biblioteca GPAC Project on Advanced Content, versão 1.0.1

Existe uma vulnerabilidade de estouro de inteiro na funcionalidade de decodificação MPEG-4. Uma entrada MPEG-4 especialmente criada pode causar um estouro de inteiro devido a operações aritméticas não verificadas, resultando em um estouro de buffer baseado em heap que causa corrupção de memória. Isso pode ser acionado ao ler um átomo usando o código FOURCC ‘sbgp’. Um invasor pode convencer um usuário a abrir um vídeo para explorar essa vulnerabilidade, permitindo potencialmente o acesso remoto a dados confidenciais, a violação da integridade dos dados e a negação de serviço.

Para a versão 1.0.1 da biblioteca GPAC Project on Advanced Content, considere desativar a funcionalidade de decodificação MPEG-4 até que um patch esteja disponível. Restrinja o acesso a vídeos que possam potencialmente explorar essa vulnerabilidade para minimizar o risco de corrupção de memória e violação da integridade dos dados. Evite usar o código FOURCC ‘sbgp’ em entradas MPEG-4 até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.