CVE-2021-21836

GPAC versão 1.0.1

O problema está relacionado a um estouro de inteiro na funcionalidade de decodificação MPEG-4 da biblioteca GPAC, especificamente com o código FOURCC “ctts”. Esse estouro é causado por operações aritméticas não verificadas, resultando em um estouro de buffer baseado em heap que leva à corrupção de memória. Um invasor pode explorar essa vulnerabilidade convencendo um usuário a abrir um vídeo especialmente criado, o que pode permitir acesso remoto a dados confidenciais, comprometimento da integridade dos dados e negação de serviço.

Para a versão 1.0.1 da GPAC, considere desativar a funcionalidade de decodificação “ctts” até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso a vídeos que possam acionar essa vulnerabilidade para minimizar o risco de corrupção de memória e ataques subsequentes. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.