PT-2021-7714 · Libde265+3 · Libde265+3
Dhbbb
·
Publicado
2021-06-24
·
Atualizado
2025-01-28
·
CVE-2021-36409
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
libde265 versão 1.0.8
Descrição
O problema está relacionado ao uso insuficiente da função
assert() no componente sps.cc da implementação do codec de vídeo h.265 da libde265. Isso pode ser explorado por um invasor remoto usando um arquivo especialmente criado, permitindo potencialmente o acesso a dados confidenciais, comprometendo a integridade dos dados e causando uma negação de serviço. A vulnerabilidade é acionada quando a decodificação de um arquivo falha na asserção scaling list pred matrix id delta==1 em sps.cc:925.Recomendações
Para a versão 1.0.8 da libde265, considere desativar a função
assert() no componente sps.cc ou restringir o uso da implementação vulnerável do codec de vídeo até que um patch esteja disponível. Como solução alternativa temporária, evite usar a biblioteca libde265 com arquivos de entrada não confiáveis para minimizar o risco de exploração.Exploit
Correção
DoS
Assertion Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astra Linux
Linuxmint
Ubuntu
Libde265