Check Point-ek MediaTek (CVE-2021-0674, CVE-2021-0675) eta Qualcomm (CVE-2021-30351) eta Qualcomm-ek eskaintzen dituzten ALAC (Apple Lossless Audio Codec) audio-konpresio formatuko deskodetzaileetan ahultasun bat identifikatu du. Arazoari esker, erasotzaileen kodea exekuta daiteke ALAC formatuan formateatutako datuak prozesatzen direnean.
Zaurgarritasunaren arriskua areagotu egiten da MediaTek eta Qualcomm txipekin hornitutako Android plataforma exekutatzen duten gailuei eragiten dielako. Erasoaren ondorioz, erasotzaile batek malwarearen exekuzioa antola dezake erabiltzailearen komunikazioetarako eta multimedia datuetarako sarbidea duen gailu batean, kamerako datuak barne. Kalkuluen arabera, Android plataforman oinarritutako smartphone-en erabiltzaile guztien 2/3ek arazoa eragiten dute. Esaterako, AEBetan, MediaTek eta Qualcomm txipekin saldutako 4eko laugarren hiruhilekoan Android telefono guztien kuota % 2021 izan zen (% 95.1 - MediaTek, % 48.1 - Qualcomm).
Ahultasunaren ustiapenaren xehetasunak oraindik ez dira ezagutarazi, baina Android plataformarako MediaTek eta Qualcomm osagaiak 2021eko abenduan adabakitu zirela jakinarazi dute. Android plataformako ahultasunei buruzko abenduko txosten batek Qualcomm txipentzako osagai jabedunen ahultasun kritiko gisa identifikatu zituen arazoak. MediaTek osagaien ahultasuna ez da aipatzen txostenetan.
Zaurgarritasuna interesgarria da bere sustraiengatik. 2011n, Applek ALAC kodecaren iturburu-kodea ireki zuen, audio-datuak kalitatea galdu gabe konprimitzea ahalbidetzen duena, Apache 2.0 lizentziapean, eta kodekarekin lotutako patente guztiak erabiltzeko aukera eman zuen. Kodea argitaratu zen baina mantendu gabe utzi eta azken 11 urteetan ez da aldatu. Aldi berean, Apple-k bere plataformetan erabilitako inplementazioa bereizita onartzen jarraitu zuen, akatsak eta ahultasunak ezabatuz barne. MediaTek eta Qualcomm-ek ALAC kodeken inplementazioak Appleren jatorrizko kode irekian oinarritu zituzten, baina ez zituzten Appleren inplementazioan landutako ahuleziak sartu beren adabakietan.
Oraindik ez dago ALAC kodea zaharkitua erabiltzen duten beste produktu batzuen kodean dagoen ahultasunari buruzko informaziorik. Esate baterako, ALAC formatua FFmpeg 1.1etik onartzen da, baina deskodetzailea inplementazioa duen kodea aktiboki mantentzen da.
Iturria: opennet.ru