高通和聯發科的ALAC漏洞危及大部分安卓設備

近日，以色列網絡安全公司Check Point的安全研究人員在公告中揭露ALAC存在遠程代碼執行漏洞，使得攻擊者能夠遠程訪問受影響移動設備的媒體和音頻對話。

ALAC（Apple Lossless Audio Codec）是由蘋果開發的一種音頻編碼格式，用于數字音樂的無損數據壓縮。蘋果于2011將其開源，自那時起，ALAC格式被嵌入到許多非Apple音頻播放設備和程序中，包括Android、Linux、Windows的媒體播放器和轉碼器。

該開源代碼自2011年以來一直沒有進行修補，許多第三方供應商使用了Apple提供的代碼，但欠缺維護，其中就包括全球最大的兩家芯片制造商高通和聯發科。他們將易受攻擊的ALAC代碼移植到他們的音頻解碼器中，而全球一半以上的智能手機都在使用其解碼器。根據IDC的數據，截至2021年第四季度，在美國銷售的所有Android手機中有48.1%由聯發科提供支持，而高通則占據了47%的市場份額。

Check Point Research發現的漏洞如下：

CVE-2021-0674（CVSS分數：5.5，聯發科） ALAC解碼器輸入驗證不當導致無需用戶交互的信息泄露。

CVE-2021-0675（CVSS 分數：7.8，聯發科） ALAC 解碼器中越界寫入導致的本地權限提升漏洞。

CVE-2021-30351（CVSS 分數：9.8，高通）對音樂播放期間傳遞的幀數驗證不正確導致的內存訪問越界。

據Check Point Research所說，這些漏洞很容易被利用，攻擊者只需發送一首歌曲（或其他媒體文件），當受害者不小心播放時，攻擊者即可注入并執行惡意代碼。而非特權Android應用程序也可利用這些漏洞來提升其權限，并獲得對媒體數據和用戶對話記錄的訪問權限。

Check Point Research已向聯發科和高通披露了這些信息，聯發科和高通確認存在漏洞，并已進行了修復。

資訊來源：美國網絡安全和基礎設施安全局

轉載請注明出處和本文鏈接

每日漲知識

遠程瀏覽器

鑒于瀏覽器往往成為黑客攻擊的入口，因此將瀏覽器部署在遠程的一個“瀏覽器服務器池”中。

這樣一來，這些瀏覽器所在的服務器跟用戶所在環境中的終端和網絡是隔離的，從而使得客戶所在網絡的暴露面大大降低。