Android中的严重bug可致使用户媒体文件被访问
发布时间:2022-04-26 08:28:54 所属栏目:安全 来源:互联网
导读:近期,安全分析师发现,由于Apple无损音频编解码器(ALAC)的实施存在缺陷,在高通和联发科芯片组上运行的Android设备容易受到远程代码执行的影响。 ALAC是一种用于无损音频压缩的音频编码格式,Apple于2011年开源。从那时起,该公司一直在发布该格式的更新
|
近期,安全分析师发现,由于Apple无损音频编解码器(ALAC)的实施存在缺陷,在高通和联发科芯片组上运行的Android设备容易受到远程代码执行的影响。 ALAC是一种用于无损音频压缩的音频编码格式,Apple于2011年开源。从那时起,该公司一直在发布该格式的更新,包括安全修复程序,但并非每个使用该编解码器的第三方供应商都应用这些修复程序。根据Check Point Research的一份报告,这包括全球最大的两家智能手机芯片制造商高通和联发科。 虽然分析师尚未提供有关实际利用这些漏洞的许多细节,但承诺会在2022 年 5月即将举行的CanSecWest上提供更多详细信息。从目前可用的详细信息来看,该漏洞使远程攻击者能够通过发送恶意制作的音频文件并诱使用户打开它来在目标设备上执行代码。研究人员称这种攻击为“ALHACK”。而远程代码执行攻击会带来严重的影响,包括数据泄露、植入和执行恶意软件、修改设备设置、访问麦克风和摄像头等硬件组件或帐户接管。 几乎每个月的Android安全更新中都会修复闭源音频处理单元中的远程代码执行漏洞。例如,4月份的Android补丁包括九个针对闭源组件中的关键漏洞的修复。其中之一是CVE-2021-35104(严重性评分为 9.8)-缓冲区溢出导致在播放FLAC音频剪辑时不正确地解析标题。该漏洞影响了高通在过去几年发布的几乎所有产品系列中的芯片组。 建议让您的设备保持最新状态,在这种情况下,至少得运行Android“2021年12月”或更高版本的补丁。如果设备不再从供应商处收到安全更新,则可以考虑安装仍提供Android补丁的第三方Android发行版。最后,当接收来自未知或可疑来源/用户的音频文件时,最好不要打开它们,因为它们可能会触发漏洞。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号