close

聚焦源代碼安全,網羅國內外最新資訊!

編譯:代碼衛士團隊

專欄·供應鏈安全

數字化時代,軟件無處不在。軟件如同社會中的「虛擬人」,已經成為支撐社會正常運轉的最基本元素之一,軟件的安全性問題也正在成為當今社會的根本性、基礎性問題。

隨着軟件產業的快速發展,軟件供應鏈也越發複雜多元,複雜的軟件供應鏈會引入一系列的安全問題,導致信息系統的整體安全防護難度越來越大。近年來,針對軟件供應鏈的安全攻擊事件一直呈快速增長態勢,造成的危害也越來越嚴重。

為此,我們推出「供應鏈安全」欄目。本欄目匯聚供應鏈安全資訊,分析供應鏈安全風險,提供緩解建議,為供應鏈安全保駕護航。

註:以往發布的部分供應鏈安全相關內容,請見文末「推薦閱讀」部分。


高通和聯發科芯片的音頻解碼器中存在三個漏洞,可遭攻擊者遠程獲得對受影響移動設備媒體和音頻會話的訪問權限。

以色列網絡安全公司 Check Point 指出,只需發送特殊構造的音頻文件,這些漏洞即可被用於執行遠程代碼執行攻擊。研究人員指出,「RCE漏洞可導致惡意代碼執行、控制用戶多媒體數據等。另外,低權限安卓app可利用這些漏洞提升權限並獲得對媒體數據和用戶會話的訪問權限。」

這些漏洞位於最初由蘋果公司在2011年開發並開源的音頻編碼格式 Apple 無損音頻編解碼器 (Lossless Audio Codec)(或稱為 Apple Lossless)。該音頻編解碼器格式用於對數字音樂的無損數據壓縮。

之後,多家第三方廠商如高通和聯發科將蘋果公司提供的引用音頻編解碼實現作為自身音頻解碼器的基礎。

雖然蘋果公司一直都在修復並緩解其專有ALAC 版本中的缺陷,但其開源變體自2011年10月27日即11年之前上傳到 GitHub 後未收到一次更新。

Check Point 公司發現的這些漏洞就和這個移植的 ALAC 代碼有關,其中兩個位於聯發科處理器中,一個位於高通芯片集中:

CVE-2021-0674(CVSS 5.5,聯發科):位於ALAC 解碼器中的輸入不當驗證漏洞,可在無需用戶交互的情況下導致信息泄露。

CVE-2021-0675(CVSS 7.8,聯發科):位於ALAC 解碼器中因界外寫導致的本地提權漏洞。

CVE-2021-30351(CVSS 9.8,高通):因在音樂回訪過程中傳遞的框架數量的驗證不當,導致界外內存訪問權限漏洞。

Check Point 在概念驗證中指出,這些漏洞可使攻擊者「竊取手機的攝像頭流。」收到這些漏洞報告後,這兩家芯片集廠商已修復這些漏洞。發現這些漏洞的研究人員指出,「這些漏洞易遭利用。攻擊者發送一首歌(媒體文件),當潛在受害者播放時可在權限媒體服務中注入代碼。攻擊者就能看到受害者手機上的所有內容。」

代碼衛士試用地址:https://codesafe.qianxin.com/
開源衛士試用地址:https://oss.qianxin.com



推薦閱讀
在線閱讀版:《2021中國軟件供應鏈安全分析報告》全文
谷歌和GitHub 聯手提出新方法,提振軟件供應鏈安全
GitHub 突然封禁受制裁俄羅斯實體的開發人員賬戶
速修復!這個嚴重的 Apache Struts RCE 漏洞補丁不完整
NPM流行包再起波瀾:維護人員對俄羅斯用戶發特定消息,誰來保證開源可信?
熱門Ruby 庫中存在嚴重的命令注入漏洞
PHP包管理器PEAR 中爆多個缺陷可發動供應鏈攻擊,已潛伏15年
FIN7 正在轉向密碼重置和軟件供應鏈攻擊
從主流安全開發框架看軟件供應鏈安全保障的落地
速修復!這個嚴重的Zlib內存損壞漏洞已存在17年!
攻擊者「完全自動化」發動NPM供應鏈攻擊
Pwn2Own大賽回顧:利用開源服務中的嚴重漏洞,攻陷西部數據My Cloud PR4100
Node-ipc 熱門包作者投毒「社死『』,誰來保護開源軟件供應鏈安全?
因供應商遭不明網絡攻擊,豐田汽車宣布停產
Linux Netfilter 防火牆模塊爆新漏洞,攻擊者可獲取root權限
豐田汽車頂級供應商 Denso 疑遭勒索攻擊,被威脅泄露商業機密
漏洞Dirty COW:影響Linux系統以及安卓設備
第三方支付處理廠商軟件有漏洞,日本美容零售商Acro 10萬支付卡信息遭攻擊
Linux 內核 cgroups 新漏洞可導致攻擊者逃逸容器
谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞獎勵加倍
Apache Cassandra 開源數據庫軟件修復高危RCE漏洞
2021年軟件供應鏈攻擊數量激增300%+
熱門開源CMS平台 Umbraco 中存在多個安全漏洞,可使賬戶遭接管
詳細分析開源軟件項目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)
SAP 嚴重漏洞可導致供應鏈攻擊
Apache PLC4X開發者向企業下最後通牒:如不提供資助將停止支持
Apache 軟件基金會:頂級項目仍使用老舊軟件,補丁作用被削弱
美國商務部發布軟件物料清單 (SBOM) 的最小元素(上)
美國商務部發布軟件物料清單 (SBOM) 的最小元素(中)
美國商務部發布軟件物料清單 (SBOM) 的最小元素(下)
NIST 發布關於使用「行政令-關鍵軟件」的安全措施指南
NIST 按行政令關於加強軟件供應鏈安全的要求,給出「關鍵軟件」的定義及所含11類軟件
SolarWinds 攻擊者再次發動供應鏈攻擊
美國「加強軟件供應鏈安全實踐的指南」 (SSDF V1.1草案) 解讀來了
軟件供應鏈安全現狀分析與對策建議
「木馬源」攻擊影響多數編程語言的編譯器,將在軟件供應鏈攻擊中發揮巨大作用
GitHub 在 「tar」 和 npm CLI 中發現7個高危的代碼執行漏洞
流行的 NPM 包依賴關係中存在遠程代碼執行缺陷
速修復!熱門npm 庫 netmask 被曝嚴重的軟件供應鏈漏洞,已存在9年
Npm 惡意包試圖竊取 Discord 敏感信息和瀏覽器文件
微軟「照片」應用Raw 格式圖像編碼器漏洞 (CVE-2021-24091)的技術分析
SolarWinds 供應鏈事件後,美國考慮實施軟件安全評級和標準機制
找到軟件供應鏈的薄弱鏈條
GitHub談軟件供應鏈安全及其重要性
揭秘新的供應鏈攻擊:一研究員靠它成功入侵微軟、蘋果等 35 家科技公司
開源軟件漏洞安全風險分析
開源OS FreeBSD 中 ftpd chroot 本地提權漏洞 (CVE-2020-7468) 的技術分析
集結30+漏洞 exploit,Gitpaste-12 蠕蟲影響 Linux 和開源組件等
限時贈書|《軟件供應鏈安全—源代碼缺陷實例剖析》新書上市
熱門開源CI/CD解決方案 GoCD 中曝極嚴重漏洞,可被用於接管服務器並執行任意代碼
GitKraken漏洞可用於盜取源代碼,四大代碼託管平台撤銷SSH密鑰
因服務器配置不當,熱門直播平台 Twitch 的125GB 數據和源代碼被泄露
彪馬PUMA源代碼被盜,稱客戶數據不受影響

原文鏈接

https://thehackernews.com/2022/04/critical-chipset-bug-opens-millions-of.html

題圖:Pixabay License

本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。

奇安信代碼衛士 (codesafe)

國內首個專注於軟件開發安全的產品線。

覺得不錯,就點個「在看」 或 "贊」 吧~

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()