CVE-2021-21848

Biblioteca GPAC Project on Advanced Content, versão 1.0.1

Existe uma vulnerabilidade de estouro de inteiro explorável na funcionalidade de decodificação MPEG-4 da biblioteca GPAC Project on Advanced Content. A biblioteca reutiliza o analisador para átomos com o código FOURCC “stsz” ao analisar átomos que utilizam o código FOURCC “stz2”, causando um estouro de inteiro devido a operações aritméticas não verificadas. Isso resulta em um estouro de buffer baseado em heap que causa corrupção de memória. Um invasor pode convencer um usuário a abrir um vídeo para acionar essa vulnerabilidade, permitindo potencialmente o acesso remoto a dados confidenciais, a violação da integridade dos dados e a negação de serviço.

Para a biblioteca GPAC Project on Advanced Content versão 1.0.1, considere desativar a funcionalidade de decodificação MPEG-4 até que um patch esteja disponível para impedir a exploração da vulnerabilidade de estouro de inteiros. Restrinja o acesso a vídeos que possam acionar essa vulnerabilidade para minimizar o risco de corrupção de memória e possíveis violações de dados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.