چيڪ پوائنٽ ALAC (Apple Lossless Audio Codec) ميڊيا ٽيڪ (CVE-2021-0674، CVE-2021-0675) ۽ Qualcomm (CVE-2021-30351) پاران پيش ڪيل آڊيو ڪمپريشن فارميٽ ڊيڪوڊرز ۾ هڪ خطري جي نشاندهي ڪئي آهي. مسئلو ALAC فارميٽ ۾ خاص فارميٽ ٿيل ڊيٽا کي پروسيس ڪرڻ دوران حملي ڪندڙ ڪوڊ کي عمل ڪرڻ جي اجازت ڏئي ٿو.
خطري جو خطرو ان حقيقت کان وڌي ويو آهي ته اهو ميڊيا ٽيڪ ۽ ڪوالڪم چپس سان ليس Android پليٽ فارم تي هلندڙ ڊوائيسز کي متاثر ڪري ٿو. حملي جي نتيجي ۾، هڪ حملو ڪندڙ هڪ ڊوائيس تي مالويئر جي عمل کي منظم ڪري سگهي ٿو جيڪو صارف جي ڪميونيڪيشن ۽ ملٽي ميڊيا ڊيٽا تائين رسائي آهي، بشمول ڪئميرا جي ڊيٽا. اهو اندازو آهي ته Android پليٽ فارم تي ٻڌل سمارٽ فون استعمال ڪندڙن مان 2/3 متاثر ٿيل آهن. مثال طور، آمريڪا ۾، 4 جي چوٿين چوٿين ۾ وڪرو ڪيل سڀني اينڊرائيڊ اسمارٽ فونز جو ڪل شيئر جيڪو ميڊيا ٽيڪ ۽ ڪوالڪام چپس سان موڪليو ويو هو 2021٪ (95.1٪ - ميڊيا ٽيڪ، 48.1٪ - Qualcomm).
ڪمزورين جي استحصال جا تفصيل اڃا تائين ظاهر نه ڪيا ويا آهن، پر اهو ٻڌايو ويو آهي ته ميڊيا ٽيڪ ۽ Qualcomm اجزاء Android پليٽ فارم لاء ڊسمبر 2021 ۾ پيچ ڪيا ويا. هڪ ڊسمبر جي رپورٽ Android پليٽ فارم ۾ ڪمزورين تي مسئلن جي نشاندهي ڪئي وئي آهي نازڪ ڪمزورين جي ملڪيت جي اجزاء ۾ Qualcomm چپس لاءِ. ميڊيا ٽيڪ اجزاء ۾ نقصان جو ذڪر رپورٽن ۾ نه ڪيو ويو آهي.
ان جي پاڙن جي ڪري ڪمزوري دلچسپ آهي. 2011 ۾، ايپل ALAC ڪوڊيڪ جو سورس ڪوڊ کوليو، جيڪو Apache 2.0 لائسنس جي تحت، معيار جي نقصان کان سواء آڊيو ڊيٽا جي ڪمپريشن جي اجازت ڏئي ٿو، ۽ ڪوڊيڪ سان لاڳاپيل سڀني پيٽرن کي استعمال ڪرڻ ممڪن بڻائي ٿو. ڪوڊ شايع ڪيو ويو پر اڻڄاتل رهجي ويو ۽ گذريل 11 سالن کان تبديل نه ڪيو ويو آهي. ساڳئي وقت، ايپل الڳ الڳ طور تي ان جي پليٽ فارمن ۾ استعمال ٿيل عمل درآمد جي حمايت جاري رکي، بشمول ان ۾ غلطيون ۽ ڪمزورين کي ختم ڪرڻ. MediaTek ۽ Qualcomm انهن جي ALAC ڪوڊيڪ تي عملدرآمد کي ايپل جي اصل اوپن سورس ڪوڊ تي ٻڌل ڪيو، پر انهن جي پيچس ۾ ايپل جي عمل درآمد ۾ خطاب ٿيل خطرات شامل نه ڪيا ويا.
اڃا تائين ڪا به ڄاڻ نه آهي ته نقصان جي باري ۾ ٻين شين جي ڪوڊ ۾ جيڪي پڻ استعمال ڪن ٿا پراڻي ALAC ڪوڊ. مثال طور، ALAC فارميٽ FFmpeg 1.1 کان سپورٽ ڪئي وئي آهي، پر ڪوڊر جي عمل سان ڪوڊ فعال طور تي برقرار رکيو ويو آهي.
جو ذريعو: opennet.ru