高通和联发科的ALAC漏洞危及大部分安卓设备

发布者:Editor
发布于:2022-04-22 17:54

编辑:左右里


近日,以色列网络安全公司Check Point的安全研究人员在公告中揭露ALAC存在远程代码执行漏洞,使得攻击者能够远程访问受影响移动设备的媒体和音频对话。


ALAC(Apple Lossless Audio Codec)是由苹果开发的一种音频编码格式,用于数字音乐的无损数据压缩。苹果于2011将其开源,自那时起,ALAC格式被嵌入到许多非Apple音频播放设备和程序中,包括Android、Linux、Windows的媒体播放器和转码器。


该开源代码自2011年以来一直没有进行修补,许多第三方供应商使用了Apple提供的代码,但欠缺维护,其中就包括全球最大的两家芯片制造商高通和联发科。他们将易受攻击的ALAC代码移植到他们的音频解码器中,而全球一半以上的智能手机都在使用其解码器。根据IDC的数据,截至2021年第四季度,在美国销售的所有Android手机中有48.1%由联发科提供支持,而高通则占据了47%的市场份额。


Check Point Research发现的漏洞如下:

CVE-2021-0674(CVSS分数:5.5,联发科) ALAC解码器输入验证不当导致无需用户交互的信息泄露。

CVE-2021-0675(CVSS 分数:7.8,联发科) ALAC 解码器中越界写入导致的本地权限提升漏洞。

CVE-2021-30351(CVSS 分数:9.8,高通)对音乐播放期间传递的帧数验证不正确导致的内存访问越界。


据Check Point Research所说,这些漏洞很容易被利用,攻击者只需发送一首歌曲(或其他媒体文件),当受害者不小心播放时,攻击者即可注入并执行恶意代码。而非特权Android应用程序也可利用这些漏洞来提升其权限,并获得对媒体数据和用户对话记录的访问权限。


Check Point Research已向联发科和高通披露了这些信息,联发科和高通确认存在漏洞,并已进行了修复。



资讯来源:美国网络安全和基础设施安全局

转载请注明出处和本文链接



每日涨知识

远程浏览器

鉴于浏览器往往成为黑客攻击的入口,因此将浏览器部署在远程的一个“浏览器服务器池”中。

这样一来,这些浏览器所在的服务器跟用户所在环境中的终端和网络是隔离的,从而使得客户所在网络的暴露面大大降低。



推荐文章++++

五眼联盟宣称俄罗斯政府将带来更多恶意网络活动

联想UEFI漏洞影响数百万台笔记本电脑

Beanstalk DeFi平台遭攻击损失1.82亿美元

GitHub封禁俄罗斯开发人员账户

FBI认为史上最大加密货币盗窃案是朝鲜黑客所为

美国加密货币专家因协助朝鲜规避美国制裁而获刑五年

欧洲刑警组织关闭世界最大黑客论坛之一RaidForums









声明:该文观点仅代表作者本人,转载请注明来自看雪