W bibliotece GPAC w wersji 2.3-DEV-rev588-g7edc40fee-master odkryto podatność typu null pointer dereference w komponencie gf_dash_setup_period. Zdalni atakujący mogą wykorzystać ją do wykonania dowolnego kodu, wywołania odmowy usługi (DoS) oraz uzyskania dostępu do wrażliwych informacji.
▸ Pokaż oryginał (EN)
An issue was discovered in gpac version 2.3-DEV-rev588-g7edc40fee-master, allows remote attackers to execute arbitrary code, cause a denial of service (DoS), and obtain sensitive information via null pointer deference in gf_dash_setup_period component in media_tools/dash_client.c.
Podatność wynika z braku walidacji wskaźnika przed jego użyciem w funkcji gf_dash_setup_period znajdującej się w pliku media_tools/dash_client.c. Atakujący może zdalnie wywołać sytuację, w której wskaźnik przyjmuje wartość NULL, co prowadzi do błędu null pointer dereference. Taki błąd może skutkować awaryjnym zakończeniem procesu lub — w sprzyjających warunkach — umożliwić atakującemu przejęcie kontroli nad wykonaniem kodu.
Atakujący może zdalnie wykonać dowolny kod (RCE), spowodować odmowę usługi (DoS) poprzez awarię aplikacji, a także uzyskać dostęp do wrażliwych danych przetwarzanych przez bibliotekę GPAC.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie oficjalnego repozytorium projektu GPAC (GitHub) w celu uzyskania poprawionej wersji oraz unikanie przetwarzania niezaufanych plików multimedialnych DASH do czasu zastosowania łatki.
GPAC w wersji 2.3-DEV-rev588-g7edc40fee-master
Podatność dotyczy wersji deweloperskiej (DEV) biblioteki GPAC. Szczegóły techniczne zostały opublikowane w zgłoszeniu nr 2641 w repozytorium GitHub projektu GPAC.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HGpac
APPGpac2.3-dev-rev588-g7edc40fee-master
Powiązane podatności
Out-of-bounds Read w bibliotece GPAC — odczyt pamięci i awaria aplikacji
Stack-based Buffer Overflow w GPAC — możliwe RCE bez uwierzytelnienia
Heap Buffer Overflow w GPAC/MP4Box — RCE i DoS przez klasę str2ulong
NULL Pointer Dereference in GitHub repository gpac/gpac prior to 2.2.2.
Out-of-bounds Read in GitHub repository gpac/gpac prior to 2.2.2.