Kritik Bir RCE Kusuru ile Medya Dosyalarına Erişim
- 3244
Check Point Research'teki güvenlik araştırmacıları, Qualcomm ve MediaTek yonga setlerinde çalışan Android cihazlarda Apple Lossless Audio Codec'in (ALAC) uygulanmasını etkileyen kritik bir uzaktan kod yürütme keşfettiler. Qualcomm ve MediaTek yonga setlerinde çalışan Android cihazlarda kritik bir RCE kusuru, kullanıcıların medya dosyalarına erişime izin verebilir.
ALAC, Apple tarafından dijital müziğin kayıpsız veri sıkıştırması için geliştirilmiş bir ses kodlama formatıdır.
ALAC 2004'te geliştirildi ve Apple 2011'de açık kaynaklı hale getirdi, o zamandan beri birçok üçüncü taraf satıcı onu kullandı. Check Point Research, Qualcomm ve MediaTek yonga seti üreticilerinin ses kod çözücülerinde ALAC kodunun savunmasız bir sürümünü kullandıklarını bildirdi, güvenlik firması dünya çapındaki tüm akıllı telefonların yarısından fazlasının etkilendiğini tahmin ediyor.
Uzaktaki bir saldırgan, rasgele kod yürütmek için hedef cihazı hatalı biçimlendirilmiş bir ses dosyasını açması için kandırarak güvenlik açığını tetikleyebilir.
Güvenlik firması, bulgularını MediaTek ve Qualcomm ile sorumlu bir şekilde paylaştı ve düzeltmelerine yardımcı oldu.
MediaTek, ALAC kusurlarını CVE-2021-0674 ve CVE-2021-0675 olarak, Qualcomm ise CVE-2021-30351 olarak izledi.
Her iki yonga seti üreticisi de sorunları Aralık 2021'de ele aldı.