CVE-2021-21844

GPAC Project on Advanced Content library versão 1.0.1

O problema está relacionado à funcionalidade de decodificação MPEG-4, na qual uma entrada MPEG-4 especialmente criada pode causar um estouro de inteiro devido a operações aritméticas não verificadas. Isso resulta em um estouro de buffer baseado na pilha, levando à corrupção de memória. A vulnerabilidade pode ser acionada quando um átomo que utiliza o código FOURCC “stco” é encontrado. Um invasor pode explorar isso convencendo um usuário a abrir um vídeo malicioso. A vulnerabilidade permite que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço.

Para a biblioteca GPAC Project on Advanced Content versão 1.0.1, considere desativar a funcionalidade de decodificação MPEG-4 até que um patch esteja disponível. Restrinja o acesso a vídeos que possam potencialmente explorar essa vulnerabilidade para minimizar o risco de corrupção de memória e comprometimento de dados. Evite usar o código FOURCC “stco” em entradas MPEG-4 até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.