CVE-2021-21858

Biblioteca GPAC Project on Advanced Content, versão 1.0.1

A vulnerabilidade está relacionada à ausência de verificações no resultado de operações aritméticas na funcionalidade de decodificação de URL da plataforma multimídia GPAC, especificamente na decodificação MPEG-4. Isso permite que um invasor remoto acesse dados confidenciais, comprometa sua integridade e provoque uma negação de serviço. Uma entrada MPEG-4 especialmente criada pode causar um estouro de inteiro devido à aritmética de adição não verificada, resultando em um estouro de buffer baseado em heap que causa corrupção de memória. Um invasor pode desencadear esse problema convencendo um usuário a abrir um vídeo malicioso.

Para a biblioteca GPAC Project on Advanced Content versão 1.0.1, atualize para uma versão que inclua uma correção para a vulnerabilidade de estouro de inteiros na funcionalidade de decodificação MPEG-4. Como solução alternativa temporária, considere restringir o uso da funcionalidade de decodificação MPEG-4 até que um patch esteja disponível. Evite abrir vídeos de fontes não confiáveis para minimizar o risco de exploração.