联发科芯片集存在严重的RCE漏洞,影响数百万台设备
联发科芯片集存在严重的RCE漏洞,影响数百万台设备
do son 代码卫士 2025-01-08 09:57
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
2025年1月份,联发科发布产品安全公告,修复了影响多款芯片集的安全漏洞。该公告详细说明了从智能手机、平板、物联网设备和智能电视等产品中发现的漏洞。
其中最严重的漏洞是CVE-2024-20154,它是位于联发科现代固件中的一个栈溢出漏洞。该漏洞是一个严重的远程代码执行 (RCE) 漏洞,属于CWE-21,可通过将用户设备连接到受攻击者控制的恶意基站的方式利用。利用无需用户交互或权限提升。该漏洞影响40多款机型,包括MT2735、MT6767、MT6785、MT6873和MT6880。
该公告还重点强调了其它多个高危漏洞,包括位于电源管理(CVE-2024-20140)和数字化音频子系统(CVE-2024-20143、CVE-2024-20144和CVE-2024-20145)中的多个界外写漏洞。这些漏洞可导致本地提权,可能导致攻击者获得对敏感数据或系统功能的越权访问权限。
WLAN 驱动还修复了其它多个漏洞(CVE-2024-20146和CVE-2024-20148),可导致在M4U子系统的远程代码执行和界外写(CVE-2024-20105)后果,从而导致本地提权后果。
联发科已将这些漏洞告知设备制造商并提供了相应的安全补丁。强烈建议用户查看设备制造商发布的更新并尽快应用,缓解安全风险。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
谷歌Titan M 芯片的这个严重漏洞,从1万跳涨到7.5万美元
原文链接
CVE-2024-20154: Critical RCE Flaw in MediaTek Chipsets Impacts Millions
题图:
Pexels
License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~