CVE-2021-21846

Biblioteca GPAC Project on Advanced Content, versão 1.0.1

O problema está relacionado a várias vulnerabilidades exploráveis de estouro de inteiro na funcionalidade de decodificação MPEG-4. Uma entrada MPEG-4 especialmente criada no decodificador “stsz” pode causar um estouro de inteiro devido a operações aritméticas não verificadas, resultando em um estouro de buffer baseado em heap que causa corrupção de memória. Um invasor pode convencer um usuário a abrir um vídeo para acionar esse problema. A vulnerabilidade permite que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço.

Para a biblioteca GPAC Project on Advanced Content versão 1.0.1, considere desativar a funcionalidade do decodificador “stsz” até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à funcionalidade de decodificação MPEG-4 para minimizar o risco de corrupção de memória. Evite usar a biblioteca vulnerável para decodificar vídeos MPEG-4 até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.