CVE-2024-47598
KrytyczneStreszczenie
W bibliotece GStreamer odkryto podatność typu OOB-read w funkcji qtdemux_merge_sample_table w pliku qtdemux.c. Problem polega na tym, że rozmiar bufora stts nie jest odpowiednio sprawdzany przed odczytem stts_duration, co pozwala na odczytanie 4 bajtów poza granicami stts->data.
Ocena ryzyka
Ta podatność może prowadzić do nieautoryzowanego odczytu pamięci, co stwarza ryzyko wycieku danych lub destabilizacji aplikacji. Organizacje powinny być świadome potencjalnych zagrożeń związanych z wykorzystaniem tej luki.
Rekomendacja
Zaleca się aktualizację biblioteki GStreamer do wersji 1.24.10 lub nowszej, aby usunąć tę podatność. Regularne monitorowanie i aktualizowanie używanych bibliotek jest kluczowe dla zapewnienia bezpieczeństwa systemów.
Oryginalny opis (angielski, źródło NVD)
GStreamer is a library for constructing graphs of media-handling components. An OOB-read vulnerability has been discovered in the qtdemux_merge_sample_table function within qtdemux.c. The problem is that the size of the stts buffer isn’t properly checked before reading stts_duration, allowing the program to read 4 bytes beyond the boundaries of stts->data. This vulnerability reads up to 4 bytes past the allocated bounds of the stts array. This vulnerability is fixed in 1.24.10.

