چیک پوائنټ د میډیا ټیک (CVE-2021-0674، CVE-2021-0675) او Qualcomm (CVE-2021-30351) لخوا وړاندیز شوي ALAC (Apple Lossless Audio Codec) آډیو کمپریشن فارمیټ ډیکوډرونو کې زیانمنتیا په ګوته کړې. ستونزه د برید کونکي کوډ اجرا کولو ته اجازه ورکوي کله چې په ځانګړي ډول فارمیټ شوي ډیټا په ALAC فارمیټ کې پروسس کوي.
د زیان مننې خطر د دې حقیقت له امله ډیر شوی چې دا د میډیا ټیک او کوالکوم چپس سره مجهز Android پلیټ فارم چلولو وسیلو اغیزه کوي. د برید په پایله کې، برید کوونکی کولی شي د مالویر اجرا کول په یوه وسیله تنظیم کړي چې د کاروونکي مخابراتو او ملټي میډیا ډیټا ته لاسرسی لري، په شمول د کیمرې ډاټا. اټکل کیږي چې د Android پلیټ فارم پراساس د ټولو سمارټ فون کاروونکو 2/3 د ستونزې لخوا اغیزمن شوي. د مثال په توګه، په متحده ایالاتو کې، د 4 په څلورم ربع کې د پلورل شوي ټولو Android سمارټ فونونو ټوله برخه چې د MediaTek او Qualcomm چپس سره لیږدول شوي 2021٪ (95.1٪ - MediaTek، 48.1٪ - Qualcomm).
د زیانونو څخه د ګټې اخیستنې توضیحات لاهم ندي افشا شوي ، مګر راپور ورکړل شوی چې د Android پلیټ فارم لپاره میډیا ټیک او Qualcomm برخې د دسمبر 2021 کې پیچ شوي. په Android پلیټ فارم کې د زیانونو په اړه د دسمبر راپور مسلې د Qualcomm چپس لپاره د ملکیت اجزاو کې د جدي زیانونو په توګه پیژندلي. په راپورونو کې د MediaTek اجزاوو کې زیانمنونکي ندي ذکر شوي.
زیانمنتیا د خپلو ریښو له امله په زړه پوري ده. په 2011 کې، ایپل د ALAC کوډیک سرچینه کوډ پرانستل، کوم چې د اپاچي 2.0 جواز لاندې د کیفیت له لاسه ورکولو پرته د آډیو ډیټا کمپریشن ته اجازه ورکوي، او دا یې ممکنه کړې چې د کوډیک پورې اړوند ټول پیټینټونه وکاروي. کوډ خپور شو مګر ساتل شوی پاتې شوی او په تیرو 11 کلونو کې نه دی بدل شوی. په ورته وخت کې، ایپل په جلا توګه په خپل پلیټ فارمونو کې کارول شوي پلي کولو مالتړ ته دوام ورکړ، په شمول پدې کې د غلطیو او زیانونو له منځه وړل. میډیا ټیک او کوالکوم د دوی د ALAC کوډیک پلي کولو پراساس د ایپل اصلي خلاصې سرچینې کوډ کې ، مګر د دوی په پیچونو کې د ایپل پلي کولو کې په ګوته شوي زیان منونکي شامل ندي.
د نورو محصولاتو په کوډ کې د زیان مننې په اړه تر اوسه معلومات نشته چې پخوانی ALAC کوډ هم کاروي. د مثال په توګه، د ALAC بڼه د FFmpeg 1.1 راهیسې ملاتړ شوې، مګر د کوډ کوډ پلي کولو سره په فعاله توګه ساتل کیږي.
سرچینه: opennet.ru