Katalog CVE

CVE-2024-47597

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W bibliotece GStreamer wykryto podatność typu OOB-read w funkcji qtdemux_parse_samples, która może odczytywać dane poza granicami bufora stream->stco. Problem ten występuje podczas analizy pliku GHSL-2024-245_crash1.mp4, co może prowadzić do odczytu do 8 bajtów poza dozwolonym zakresem.

Ocena ryzyka

Ta podatność może prowadzić do nieautoryzowanego odczytu pamięci, co stwarza ryzyko wycieku danych lub destabilizacji aplikacji. Organizacje powinny być świadome potencjalnych zagrożeń związanych z wykorzystaniem tej biblioteki w swoich systemach.

Rekomendacja

Zaleca się aktualizację biblioteki GStreamer do wersji 1.24.10, aby usunąć tę podatność. Należy również przeprowadzić audyt aplikacji korzystających z tej biblioteki w celu identyfikacji potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

GStreamer is a library for constructing graphs of media-handling components. An OOB-read has been detected in the function qtdemux_parse_samples within qtdemux.c. This issue arises when the function qtdemux_parse_samples reads data beyond the boundaries of the stream->stco buffer. The following code snippet shows the call to qt_atom_parser_get_offset_unchecked, which leads to the OOB-read when parsing the provided GHSL-2024-245_crash1.mp4 file. This issue may lead to read up to 8 bytes out-of-bounds. This vulnerability is fixed in 1.24.10.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS