CVE-2021-21855

Biblioteca GPAC Project on Advanced Content, versão 1.0.1

O problema está relacionado à ausência de verificações no resultado de operações aritméticas na funcionalidade do decodificador SDP da plataforma multimídia GPAC, especificamente na funcionalidade de decodificação MPEG-4. Isso pode levar a um estouro de inteiros devido à aritmética de adição não verificada, resultando em um estouro de buffer baseado em heap que causa corrupção de memória. Um invasor pode explorar isso convencendo um usuário a abrir um vídeo MPEG-4 especialmente criado, o que pode permitir que ele acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço.

Para a biblioteca GPAC Project on Advanced Content versão 1.0.1, considere desativar a funcionalidade de decodificação MPEG-4 até que um patch esteja disponível para impedir a exploração. Restrinja o acesso a vídeos que possam potencialmente acionar essa vulnerabilidade para minimizar o risco de corrupção de memória e comprometimento da integridade dos dados. Evite usar a biblioteca afetada para decodificar conteúdo MPEG-4 até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.