Check Point Research 逆向工程和安全研究部 Slava Makkaveev 指出,這組漏洞能讓攻擊者在全球三分之二的行動裝置上遠端執行及提升權限,且這些漏洞很容易被利用,受害者只要播放攻擊者傳送的一首歌曲(媒體檔案),惡意程式碼便能成功注入權限較高的媒體服務中。攻擊者將能看到使用者在手機上查找的資訊;而在 Check Point Research的概念驗證(PoC)中,我們也證實能夠直接串流受害手機的攝影畫面。手機中最敏感資訊是包含音訊及視訊等的媒體服務,而攻擊者竟能透過此漏洞成功竊取這些資訊,其中易受攻擊的解碼器正是源自於 Apple 11年前開源的程式碼。
Check Point Research已向聯發科和高通揭露相關資訊,並與這兩家廠商密切合作,確保這些漏洞得以盡快修復。聯發科將漏洞命名為 CVE-2021-0674和CVE-2021-0675,目前這些漏洞已修復,並發佈在2021年12月聯發科產品安全佈告欄中;高通則在2021年12月高通安全佈告欄中發佈了CVE-2021-30351的修補程式。
發表意見
中時新聞網對留言系統使用者發布的文字、圖片或檔案保有片面修改或移除的權利。當使用者使用本網站留言服務時,表示已詳細閱讀並完全了解,且同意配合下述規定:
違反上述規定者,中時新聞網有權刪除留言,或者直接封鎖帳號!請使用者在發言前,務必先閱讀留言板規則,謝謝配合。