高通和联发科的ALAC漏洞危及大部分安卓设备

高通和联发科的ALAC漏洞危及大部分安卓设备
2022-4-22 17:59:0 Author: mp.weixin.qq.com(查看原文) 阅读量:27 收藏

编辑：左右里

近日，以色列网络安全公司Check Point的安全研究人员在公告中揭露ALAC存在远程代码执行漏洞，使得攻击者能够远程访问受影响移动设备的媒体和音频对话。

ALAC（Apple Lossless Audio Codec）是由苹果开发的一种音频编码格式，用于数字音乐的无损数据压缩。苹果于2011将其开源，自那时起，ALAC格式被嵌入到许多非Apple音频播放设备和程序中，包括Android、Linux、Windows的媒体播放器和转码器。

该开源代码自2011年以来一直没有进行修补，许多第三方供应商使用了Apple提供的代码，但欠缺维护，其中就包括全球最大的两家芯片制造商高通和联发科。他们将易受攻击的ALAC代码移植到他们的音频解码器中，而全球一半以上的智能手机都在使用其解码器。根据IDC的数据，截至2021年第四季度，在美国销售的所有Android手机中有48.1%由联发科提供支持，而高通则占据了47%的市场份额。

Check Point Research发现的漏洞如下：

CVE-2021-0674（CVSS分数：5.5，联发科） ALAC解码器输入验证不当导致无需用户交互的信息泄露。

CVE-2021-0675（CVSS 分数：7.8，联发科） ALAC 解码器中越界写入导致的本地权限提升漏洞。

CVE-2021-30351（CVSS 分数：9.8，高通）对音乐播放期间传递的帧数验证不正确导致的内存访问越界。

据Check Point Research所说，这些漏洞很容易被利用，攻击者只需发送一首歌曲（或其他媒体文件），当受害者不小心播放时，攻击者即可注入并执行恶意代码。而非特权Android应用程序也可利用这些漏洞来提升其权限，并获得对媒体数据和用户对话记录的访问权限。

Check Point Research已向联发科和高通披露了这些信息，联发科和高通确认存在漏洞，并已进行了修复。

资讯来源：美国网络安全和基础设施安全局

转载请注明出处和本文链接

每日涨知识

远程浏览器

鉴于浏览器往往成为黑客攻击的入口，因此将浏览器部署在远程的一个“浏览器服务器池”中。

这样一来，这些浏览器所在的服务器跟用户所在环境中的终端和网络是隔离的，从而使得客户所在网络的暴露面大大降低。

推荐文章++++

* 五眼联盟宣称俄罗斯政府将带来更多恶意网络活动

* 联想UEFI漏洞影响数百万台笔记本电脑

* Beanstalk DeFi平台遭攻击损失1.82亿美元

* GitHub封禁俄罗斯开发人员账户

* FBI认为史上最大加密货币盗窃案是朝鲜黑客所为

* 美国加密货币专家因协助朝鲜规避美国制裁而获刑五年

* 欧洲刑警组织关闭世界最大黑客论坛之一RaidForums

﹀

球分享

球点赞

球在看

戳“阅读原文”一起来充电吧！

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458438774&idx=3&sn=e5d94463064262334583c5caee474426&chksm=b18ffcfc86f875eafe793605f52ec72b46e35381dc2abc0a0771d7eb51ba22af8da23b5bd6ad#rd
如有侵权请联系:admin#unsafe.sh