CVE-2021-21857

Biblioteca GPAC Project on Advanced Content, versão 1.0.1

O problema está relacionado à ausência de verificações no resultado de uma operação aritmética na funcionalidade do decodificador txtc da plataforma multimídia GPAC, especificamente na funcionalidade de decodificação MPEG-4. Isso pode ser explorado por um invasor remoto para acessar dados confidenciais, comprometer sua integridade e causar uma negação de serviço. Uma entrada MPEG-4 especialmente criada pode causar um estouro de inteiro devido à aritmética de adição não verificada, resultando em um estouro de buffer baseado em heap que causa corrupção de memória. Um invasor pode desencadear essa vulnerabilidade convencendo um usuário a abrir um vídeo especialmente criado.

Para a versão 1.0.1 da biblioteca GPAC Project on Advanced Content, considere desativar a funcionalidade de decodificação MPEG-4 até que um patch esteja disponível para impedir a exploração. Restrinja o acesso a vídeos de fontes não confiáveis para minimizar o risco de acionar a vulnerabilidade. Como solução alternativa temporária, evite usar a biblioteca para decodificar conteúdo MPEG-4 até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.