【行動裝置資安訊息】
📱📱📱部分 Android 裝置內 ALAC 音訊解碼器,內含遠端執行任意程式碼漏洞🕳🕳🕳
資安廠商 Check Point 旗下的資安專家,日前發現採用 Qualcomm 與 MediaTek 處理器的 Android 裝置,內建的 Apple Lossless Audio Codec (ALAC)音訊解碼器實作方案含有資安漏洞,駭侵者可藉以遠端執行任意程式碼。
這次 Check Point 資安專家發現的漏洞,即出在世界最大的兩家 Android 晶片供應商 Qualcomm 與 MediaTek
上;駭侵者可以利用特製的音訊檔案,來誘發採用 Qualcomm 與 MediaTek 的 Android
裝置發生錯誤。駭侵者可以讀寫邊界外的記憶體內容,並且用戶不知情的情形下,遠端執行任意程式碼。
這三個資安漏洞的 CVE 編號與 CVSS 危險程度評分,分別為 CVE-2021-0674(5.5 分)、CVE-2021-0675(7.8 分),以及 CVE-2021-30351(9.8分)。
Qualcomm 與 MediaTek 已於去(2021)年 12 月修復這批漏洞,但由於 Android 手機的更新,往往必須等到手機品牌原廠推出更新才能進行,更有許多中低價位手機,在上市一兩年後,原廠就停止提供韌體更新服務,因此用戶必須提高警覺。
詳細資訊請參考:https://www.twcert.org.tw/tw/cp-104-6046-c9187-1.html
沒有留言:
張貼留言