CVE-2021-21845

Biblioteca GPAC Project on Advanced Content, versão 1.0.1

O problema está relacionado à funcionalidade de decodificação MPEG-4 da biblioteca GPAC, especificamente ao decodificador stsc. Trata-se de um estouro de inteiro causado por operações aritméticas não verificadas, resultando em um estouro de buffer baseado na pilha que provoca corrupção de memória. Isso pode ser desencadeado por uma entrada MPEG-4 especialmente criada, permitindo que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço. Um invasor pode explorar isso convencendo um usuário a abrir um vídeo criado com intenção maliciosa.

Para a biblioteca GPAC Project on Advanced Content versão 1.0.1, considere desativar a funcionalidade do decodificador stsc até que um patch esteja disponível para impedir a exploração. Restrinja o acesso a vídeos de fontes não confiáveis para minimizar o risco de acionar a vulnerabilidade. Evite usar a biblioteca afetada para decodificar conteúdo MPEG-4 até que uma atualização seja aplicada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.