Kritik Bir RCE Kusuru ile Medya Dosyalarına Erişim

Erkan Aytac
Nisan 29, 2022
  • 3244

Check Point Research'teki güvenlik araştırmacıları, Qualcomm ve MediaTek yonga setlerinde çalışan Android cihazlarda Apple Lossless Audio Codec'in (ALAC) uygulanmasını etkileyen kritik bir uzaktan kod yürütme keşfettiler. Qualcomm ve MediaTek yonga setlerinde çalışan Android cihazlarda kritik bir RCE kusuru, kullanıcıların medya dosyalarına erişime izin verebilir.

ALAC, Apple tarafından dijital müziğin kayıpsız veri sıkıştırması için geliştirilmiş bir ses kodlama formatıdır.

ALAC 2004'te geliştirildi ve Apple 2011'de açık kaynaklı hale getirdi, o zamandan beri birçok üçüncü taraf satıcı onu kullandı. Check Point Research, Qualcomm ve MediaTek yonga seti üreticilerinin ses kod çözücülerinde ALAC kodunun savunmasız bir sürümünü kullandıklarını bildirdi, güvenlik firması dünya çapındaki tüm akıllı telefonların yarısından fazlasının etkilendiğini tahmin ediyor.

Uzaktaki bir saldırgan, rasgele kod yürütmek için hedef cihazı hatalı biçimlendirilmiş bir ses dosyasını açması için kandırarak güvenlik açığını tetikleyebilir.

Güvenlik firması, bulgularını MediaTek ve Qualcomm ile sorumlu bir şekilde paylaştı ve düzeltmelerine yardımcı oldu.

MediaTek, ALAC kusurlarını CVE-2021-0674 ve CVE-2021-0675 olarak, Qualcomm ise CVE-2021-30351 olarak izledi.

Her iki yonga seti üreticisi de sorunları Aralık 2021'de ele aldı.



İlgili İçerik
Duyurular

Finansal Kontrolör Arıyoruz

Büyüyen organizasyonumuz için Finansal Kontrolör pozisyonunda görevlendirilmek üzere, dinamik ve proaktif takım arkadaşları arıyoruz!

selen guvenc Eylül 11

Mobildev Pazarlama Sohbetleri: "2024 SEO Trendleri"

Yeni sezonun yirmi üçüncü etkinliği olan, “2024 SEO Trendleri” konulu webinarımız, 6 Eylül Cuma Günü gerçekleşecek.

selen guvenc Eylül 2

Performans Pazarlaması ile İşinizi Nasıl Büyütürsünüz?

Yeni sezonun yirmi ikinci etkinliği olan, “Performans Pazarlaması ile İşinizi Nasıl Büyütürsünüz?” konulu webinarımız, 23 Ağustos Cuma Günü gerçekleşecek.

selen guvenc Ağustos 16

MobilDEV'leşmeye Hazır mısın? Geleceğe Teknolojiyle Adım At!

Çağrımıza kulak vererek, programımıza başvuran adaylarımız arasından seçtiğimiz 6 başarılı stajyerimiz, yoğun bir program dahilinde çalışmalarını sürdürüyorlar.

selen guvenc Ağustos 8

Google'ın Üçüncü Parti Çerezler Üzerine Güncellenmiş Yaklaşımı: Kapsamlı Bir Değerlendirme

Google, Privacy Sandbox girişimiyle üçüncü parti çerezleri tamamen kaldırma planını yeniden değerlendirdi.

selen guvenc Ağustos 2

Yeni Kimlik Avı Kampanyası

Dolandırıcılar, kuruluşların Meta hesapları üzerinde kontrol sahibi olmak için karmaşık kimlik avı dolandırıcılıklarından yararlanıyor.

selen guvenc Ağustos 2

Bültene Üye Ol

İşinizi geliştirmenize katkı sağlayacak, başarılı örnekleri, sektörel gelişmeleri ve kampanyaları kaçırmayın.