研究人员表示，音频编解码器中的缺陷使三分之二的iPad面临窥探的风险

时间：2023-03-05 12:18:14

由于苹果多年前Apache的音频文件编解码器存在瑕疵，造成了总共以百万计的Android器材非常容易受到远程代码拒绝执行奇袭。

Check Point的研究课题部门在Apple Lossless Audio Codec（ALAC）里面发现了一个错误，这是Apple在2011年 Apache 的音频文件压缩技术。此前，ALAC被嵌入到Android器材和处理程序里面以开展音频文件播映。

正如Check Point研究课题部门所指出的那样，问题在于，虽然苹果修正并修复了其专有新版本的ALAC，但ALAC的Apache代码自2011年以来一直没有修正，并且它包含一个容许远程代码拒绝执行的重大瑕疵。

远程奇袭者可以通过向前提发送格式错误的音频文件文件来借助此漏洞，从而使奇袭者能够在Android 器材上拒绝执行黑客。

研究课题部门话说，该漏洞“确实造成了奇袭者远程访问期间其媒体和音频文件对话”。这些错误阻碍了用到联发科技和高通里面央处理器的Android器材，这两者也都证实了这些瑕疵。

高通公司在其12年底的安全修正里面修复了该错误，监控为CVE-2021-30351。联发科技也在12年底的安全修正里面解决问题了ALAC问题，监控为CVE-2021-0674和CVE-2021-0675。

高通公司将CVE-2021-30351评为“比较严重”评级，比较严重性得分为9.8分（满分10分）。高通公司在其公告里面声称作: “由于对音乐播映期间引导的帧总共的验证不正确，确实会发生外侨存储器访问期间。”

联发科技将 CVE-2021-0675 评为“高”比较严重性有权提升错误，原因是“在 alac 解码器存储器缓冲区的之内加载上限不当”。据联发科技称作，它阻碍了运行Android新版本8.1，9.0，10.0和11.0的器材里面用到的总共十款联发科技里面央处理器。

联发科技声称作，CVE-2021-0674是一个“里面等”比较严重等级，“确实造成了本地信息泄露，无需额外的拒绝执行权限。同样，借助它不需要跟用户产生交互。”

有多少Android器材非常容易受到奇袭取决于有多少人重新安装了固件修正，其里面修复了瑕疵。但这两家里面央处理器制造商是在美国和亚洲地区贩售的Android器材里面用到的系统里面央处理器背后的最大供应商。

Check Point至少，2021年贩售的所有智能手机里面有三分之二非常容易受到其；也的“ALHACK”的阻碍。

谷歌确实在其2021年12年底的修正里面发行了高通漏洞和联发科技 CVE-2021-0675的重新安装处理程序。但是，每个Android手机制造商仅仅要按照自己的乐句发布重新安装处理程序。

Check Point计划在下个年底的CanSecWest安全会议上透露有关这些漏洞的更多细节。（本文出自SCA安全通讯自由联盟，转载恳请注明出处。）