高通和聯發科的ALAC漏洞危及大部分安卓裝置

編輯：左右裡

近日，以色列網路安全公司Check Point的安全研究人員在公告中揭露ALAC存在遠端程式碼執行漏洞，使得攻擊者能夠遠端訪問受影響移動裝置的媒體和音訊對話。

ALAC（Apple Lossless Audio Codec）是由蘋果開發的一種音訊編碼格式，用於數字音樂的無損資料壓縮。蘋果於2011將其開源，自那時起，ALAC格式被嵌入到許多非Apple音訊播放裝置和程式中，包括Android、Linux、Windows的媒體播放器和轉碼器。

該開原始碼自2011年以來一直沒有進行修補，許多第三方供應商使用了Apple提供的程式碼，但欠缺維護，其中就包括全球最大的兩家晶片製造商高通和聯發科。他們將易受攻擊的ALAC程式碼移植到他們的音訊解碼器中，而全球一半以上的智慧手機都在使用其解碼器。根據IDC的資料，截至2021年第四季度，在美國銷售的所有Android手機中有48.1%由聯發科提供支援，而高通則佔據了47%的市場份額。

Check Point Research發現的漏洞如下：

CVE-2021-0674（CVSS分數：5.5，聯發科） ALAC解碼器輸入驗證不當導致無需使用者互動的資訊洩露。

CVE-2021-0675（CVSS 分數：7.8，聯發科） ALAC 解碼器中越界寫入導致的本地許可權提升漏洞。

CVE-2021-30351（CVSS 分數：9.8，高通）對音樂播放期間傳遞的幀數驗證不正確導致的記憶體訪問越界。

據Check Point Research所說，這些漏洞很容易被利用，攻擊者只需傳送一首歌曲（或其他媒體檔案），當受害者不小心播放時，攻擊者即可注入並執行惡意程式碼。而非特權Android應用程式也可利用這些漏洞來提升其許可權，並獲得對媒體資料和使用者對話記錄的訪問許可權。

Check Point Research已向聯發科和高通披露了這些資訊，聯發科和高通確認存在漏洞，並已進行了修復。

資訊來源：美國網路安全和基礎設施安全域性

轉載請註明出處和本文連結

每日漲知識

遠端瀏覽器

鑑於瀏覽器往往成為駭客攻擊的入口，因此將瀏覽器部署在遠端的一個“瀏覽器伺服器池”中。

這樣一來，這些瀏覽器所在的伺服器跟使用者所在環境中的終端和網路是隔離的，從而使得客戶所在網路的暴露面大大降低。

推薦文章++++

* 五眼聯盟宣稱俄羅斯政府將帶來更多惡意網路活動

* 聯想UEFI漏洞影響數百萬檯膝上型電腦

* Beanstalk DeFi平臺遭攻擊損失1.82億美元

* GitHub封禁俄羅斯開發人員賬戶

* FBI認為史上最大加密貨幣盜竊案是朝鮮駭客所為

* 美國加密貨幣專家因協助朝鮮規避美國製裁而獲刑五年

* 歐洲刑警組織關閉世界最大駭客論壇之一RaidForums

﹀

﹀

﹀