全球網路安全解決方案領導廠商Check Point Software Technologies Ltd.的威脅情報部門Check Point Research於高通和聯發科的音訊解碼器中發現漏洞。此漏洞是基於一個Apple 11年前開源的程式碼;若未及時修補,攻擊者將能夠遠端存取媒體和對話音訊,或透過惡意遠端程式碼執行(RCE)威脅全球三分之二的行動裝置。

Check Point Research 逆嚮工程和安全研究部 Slava Makkaveev 指齣,這組漏洞能讓攻擊者在全球三分之二的行動裝置上遠端執行及提升權限,且這些漏洞很容易被利用,受害者隻要播放攻擊者傳送的一首歌麯(媒體檔案),惡意程式碼便能成功注入權限較高的媒體服務中。攻擊者將能看到使用者在手機上查找的資訊;而在 Check Point Research的概念驗證(PoC)中,我們也證實能夠直接串流受害手機的攝影畫麵。手機中最敏感資訊是包含音訊及視訊等的媒體服務,而攻擊者竟能透過此漏洞成功竊取這些資訊,其中易受攻擊的解碼器正是源自於 Apple 11年前開源的程式碼。

Check Point Research已嚮聯發科和高通揭露相關資訊,並與這兩傢廠商密切閤作,確保這些漏洞得以盡快修復。聯發科將漏洞命名為 CVE-2021-0674和CVE-2021-0675,目前這些漏洞已修復,並發佈在2021年12月聯發科產品安全佈告欄中;高通則在2021年12月高通安全佈告欄中發佈瞭CVE-2021-30351的修補程式。

傳染力更強 南韓爆首例Omicron亞變種「BA.2.12.1」 已打3劑疫苗
Nespresso 獲全球B型企業認證
# 聯發科 # 全球 # 漏洞 # 攻擊者 # CheckPointResearch