GPAC — это мультимедийная платформа с открытым исходным кодом. Перед коммитом 86b0e36 в GPAC MP4Box была обнаружена уязвимость переполнения (записи) буфера в куче. Уязвимость существует в функции gf_xml_parse_bit_sequence_bs в utils/xml_bin_custom.c при обработке созданного файла NHML, содержащего вредоносные элементы <BS> (BitSequence).
Злоумышленник может воспользоваться этим, предоставив специально созданный файл NHML, вызывающий запись в куче за пределами допустимого диапазона. Эта проблема возникла из-за фиксации 86b0e36.
Показать оригинальное описание (EN)
GPAC is an open-source multimedia framework. Prior to commit 86b0e36, a heap-based buffer overflow (write) vulnerability was discovered in GPAC MP4Box. The vulnerability exists in the gf_xml_parse_bit_sequence_bs function in utils/xml_bin_custom.c when processing a crafted NHML file containing malicious <BS> (BitSequence) elements. An attacker can exploit this by providing a specially crafted NHML file, causing an out-of-bounds write on the heap. This issue has been via commit 86b0e36.
Характеристики атаки
Последствия
Строка CVSS v3.1