Баги в аудиокодеке ALAC представляют опасность для миллионов устройств на Android - «Новости» » Интернет технологии
sitename
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Баги в аудиокодеке ALAC представляют опасность для миллионов устройств на Android - «Новости»

✔Баги в аудиокодеке ALAC представляют опасность для миллионов устройств на Android - «Новости»

25 апреля 2022 374 Новости / Отступы и поля / Преимущества стилей / Вёрстка / Заработок / Добавления стилей 0

Исследователи Check Point обнаружили, что многие Android-девайсы, работающие на чипсетах Qualcomm и MediaTek, уязвимы для удаленного выполнения кода из-за проблемы в аудиокодеках Apple Lossless Audio Codec (ALAC).


Apple Lossless Audio Codec (ALAC) был представлен Apple в 2004 году, а в 2011 году компания открыла его исходные коды.  После этого многими другими производители устройств (помимо Apple) стали применять ALAC в своих продуктах. Интересно, что все эти годы Apple продолжала улучшать проприетарную версию своего кодека, а вот опенсорсная версия не обновлялась ни разу за все 11 лет.


Пока эксперты обнародовали не так много подробностей о фактическом использовании найденных ими уязвимостей, но обещали представить подробный доклад на конференции CanSecWest, которая состоится в мае 2022 года.


По данным Check Point, уязвимость позволяет удаленному злоумышленнику выполнить код на устройстве жертвы, отправив ей вредоносный аудиофайл и обманом вынудив пользователя открыть его. Исследователи назвали эту атаку ALHACK.


Баги в ALAC были исправлены MediaTek и Qualcomm еще в декабре 2021 года и отслеживаются под идентификаторами CVE-2021-0674 (5,5 балла по шкале CVSS), CVE-2021-0675 (7,8 балла по шкале CVSS) и CVE-2021-30351 (9,8 балла по шкале CVSS).


Корень проблемы заключается в том, что имплементация ALAC от Qualcomm и MediaTek страдает от out-of-bounds чтения и записи, а также из-за некорректной проверки аудиофреймов, передаваемых во время воспроизведения аудио. Помимо произвольного выполнения кода, о котором пишут эксперты, такие баги чреваты раскрытием информации и повышением привилегий без взаимодействия с пользователем.


«Воздействие уязвимости RCE может варьироваться от запуска вредоносного ПО до получения злоумышленником контроля над мультимедийными данными пользователя, включая стриминг с камеры скомпрометированного устройства. Кроме того, непривилегированное Android-приложение может использовать уязвимости для повышения своих привилегий и получения доступа к медиаданным и разговорам пользователей», — предупреждают специалисты в блоге.


Исследователи Check Point обнаружили, что многие Android-девайсы, работающие на чипсетах Qualcomm и MediaTek, уязвимы для удаленного выполнения кода из-за проблемы в аудиокодеках Apple Lossless Audio Codec (ALAC). Apple Lossless Audio Codec (ALAC) был представлен Apple в 2004 году, а в 2011 году компания открыла его исходные коды. После этого многими другими производители устройств (помимо Apple) стали применять ALAC в своих продуктах. Интересно, что все эти годы Apple продолжала улучшать проприетарную версию своего кодека, а вот опенсорсная версия не обновлялась ни разу за все 11 лет. Пока эксперты обнародовали не так много подробностей о фактическом использовании найденных ими уязвимостей, но обещали представить подробный доклад на конференции CanSecWest, которая состоится в мае 2022 года. По данным Check Point, уязвимость позволяет удаленному злоумышленнику выполнить код на устройстве жертвы, отправив ей вредоносный аудиофайл и обманом вынудив пользователя открыть его. Исследователи назвали эту атаку ALHACK. Баги в ALAC были исправлены MediaTek и Qualcomm еще в декабре 2021 года и отслеживаются под идентификаторами CVE-2021-0674 (5,5 балла по шкале CVSS), CVE-2021-0675 (7,8 балла по шкале CVSS) и CVE-2021-30351 (9,8 балла по шкале CVSS). Корень проблемы заключается в том, что имплементация ALAC от Qualcomm и MediaTek страдает от out-of-bounds чтения и записи, а также из-за некорректной проверки аудиофреймов, передаваемых во время воспроизведения аудио. Помимо произвольного выполнения кода, о котором пишут эксперты, такие баги чреваты раскрытием информации и повышением привилегий без взаимодействия с пользователем. «Воздействие уязвимости RCE может варьироваться от запуска вредоносного ПО до получения злоумышленником контроля над мультимедийными данными пользователя, включая стриминг с камеры скомпрометированного устройства. Кроме того, непривилегированное Android-приложение может использовать уязвимости для повышения своих привилегий и получения доступа к медиаданным и разговорам пользователей», — предупреждают специалисты в блоге.
CSS
запостил(а)
Wayne
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))


Комментарии для сайта Cackle
Забыли пароль? Регистрация
Войти через:
Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика