CVE-2021-21847

Biblioteca GPAC Project on Advanced Content, versão 1.0.1

O problema está relacionado à funcionalidade de decodificação MPEG-4 da biblioteca GPAC Project on Advanced Content. Uma entrada MPEG-4 especialmente criada no decodificador “stts” pode causar um estouro de inteiro devido a operações aritméticas não verificadas, resultando em um estouro de buffer baseado em heap que causa corrupção de memória. Isso pode ser acionado quando um usuário abre um vídeo. Um invasor pode explorar essa vulnerabilidade para obter acesso a dados confidenciais, comprometer a integridade dos dados e causar uma negação de serviço.

Para a versão 1.0.1 da biblioteca GPAC Project on Advanced Content, considere desativar a funcionalidade do decodificador “stts” até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à funcionalidade de decodificação MPEG-4 para minimizar o risco de exploração. Evite usar a biblioteca afetada para decodificar vídeos MPEG-4 até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.