PT-2024-6079 · Gstreamer+6 · Gstreamer+6

Michael Randrianantenaina

·

Publicado

2024-01-24

·

Atualizado

2025-06-05

·

CVE-2024-0444

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do GStreamer anteriores à 1.22.9
Descrição
Esta vulnerabilidade permite que invasores remotos executem código arbitrário em instalações afetadas do GStreamer. A falha específica está na análise dos dados da lista de blocos em arquivos de vídeo codificados em AV1. O problema decorre da falta de validação adequada do comprimento dos dados fornecidos pelo usuário antes de copiá-los para um buffer baseado em pilha de comprimento fixo. Um invasor pode explorar essa vulnerabilidade para executar código no contexto do processo atual.
Recomendações
Para versões anteriores à 1.22.9, atualize para a versão 1.22.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de arquivos de vídeo codificados em AV1 até que um patch esteja disponível. Evite usar a funcionalidade de análise de dados da lista de blocos no analisador de codec AV1 afetado até que o problema seja resolvido.

Correção

RCE

Memory Corruption

Stack Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787CWE-121

Identificadores relacionados

ALSA-2025:7178
BDU:2024-06904
CVE-2024-0444
DSA-5608-1
INFSA-2025_7178
MGASA-2024-0119
OPENSUSE-SU-2024:13649-1
RHSA-2025:18416
RHSA-2025:7178
RHSA-2025_7178
USN-7558-1
ZDI-24-567

Produtos afetados

Almalinux
Astra Linux
Gstreamer
Linuxmint
Red Hat
Rocky Linux
Ubuntu