CVE-2021-21850

Biblioteca GPAC Project on Advanced Content, versão 1.0.1

Existe uma vulnerabilidade de estouro de inteiro explorável na funcionalidade de decodificação MPEG-4 da biblioteca GPAC Project on Advanced Content. Uma entrada MPEG-4 especialmente criada pode causar um estouro de inteiro quando a biblioteca encontra um átomo que utiliza o código FOURCC “trun”, devido a uma operação aritmética não verificada, resultando em um estouro de buffer baseado em heap que causa corrupção de memória. Um invasor pode convencer um usuário a abrir um vídeo para acionar essa vulnerabilidade. A vulnerabilidade está relacionada à verificação incorreta do resultado de uma operação aritmética, o que pode permitir que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço.

Para a biblioteca GPAC Project on Advanced Content versão 1.0.1, considere desativar a funcionalidade de decodificação MPEG-4 até que um patch esteja disponível. Restrinja o acesso a vídeos que possam potencialmente acionar a vulnerabilidade para minimizar o risco de exploração. Evite usar o código FOURCC “trun” na biblioteca afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.