CVE-2021-21840

GPAC Project on Advanced Content library versão 1.0.1

Existe uma vulnerabilidade de estouro de inteiro na funcionalidade de decodificação MPEG-4 devido a operações aritméticas não verificadas, resultando em um estouro de buffer baseado em heap que causa corrupção de memória. Isso pode ser desencadeado por uma entrada MPEG-4 especialmente criada usando o código FOURCC “saio”. Um invasor pode explorar essa vulnerabilidade convencendo um usuário a abrir um vídeo malicioso, o que pode levar ao acesso a dados confidenciais, à violação da integridade dos dados e à negação de serviço.

Para a biblioteca GPAC Project on Advanced Content versão 1.0.1, considere desativar a funcionalidade de processamento do código FOURCC saio até que um patch esteja disponível para impedir a exploração. Restrinja o acesso a arquivos de vídeo de fontes não confiáveis para minimizar o risco de acionar este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.