MediaTek (CVE-2021-0674, CVE-2021-0675) සහ Qualcomm (CVE-2021-30351) විසින් පිරිනමනු ලබන ALAC (Apple Lossless Audio Codec) ශ්රව්ය සම්පීඩන ආකෘති විකේතකවල අවදානමක් චෙක් පොයින්ට් හඳුනාගෙන ඇත. ALAC ආකෘතියෙන් විශේෂයෙන් ෆෝමැට් කළ දත්ත සැකසීමේදී ප්රහාරක කේතය ක්රියාත්මක කිරීමට ගැටළුව ඉඩ දෙයි.
MediaTek සහ Qualcomm චිප් වලින් සමන්විත ඇන්ඩ්රොයිඩ් වේදිකාවේ ධාවනය වන උපාංගවලට එය බලපාන නිසා අවදානමේ අන්තරාය උග්ර වේ. ප්රහාරයේ ප්රතිඵලයක් ලෙස, ප්රහාරකයෙකුට කැමරාවෙන් ලැබෙන දත්ත ඇතුළුව පරිශීලක සන්නිවේදනය සහ බහුමාධ්ය දත්ත වෙත ප්රවේශය ඇති උපාංගයක් මත අනිෂ්ට මෘදුකාංග ක්රියාත්මක කිරීම සංවිධානය කළ හැකිය. ඇන්ඩ්රොයිඩ් වේදිකාව මත පදනම් වූ සියලුම ස්මාර්ට්ෆෝන් භාවිතා කරන්නන්ගෙන් 2/3 ක් ගැටලුවට බලපාන බව ගණන් බලා ඇත. උදාහරණයක් ලෙස, එක්සත් ජනපදයේ, MediaTek සහ Qualcomm චිප් සමඟ නැව්ගත කළ 4 2021 වැනි කාර්තුවේදී අලෙවි වූ සියලුම Android ස්මාර්ට්ෆෝන් වල මුළු කොටස 95.1% (48.1% - MediaTek, 47% - Qualcomm).
අවදානම් සූරාකෑම පිළිබඳ විස්තර තවමත් අනාවරණය කර නැත, නමුත් Android වේදිකාව සඳහා MediaTek සහ Qualcomm සංරචක 2021 දෙසැම්බර් මාසයේදී පැච් කරන ලද බව වාර්තා වේ. Android වේදිකාවේ ඇති දුර්වලතා පිළිබඳ දෙසැම්බර් වාර්තාවක් Qualcomm චිප්ස් සඳහා හිමිකාර සංරචකවල ඇති තීරනාත්මක දුර්වලතා ලෙස ගැටලු හඳුනාගෙන ඇත. MediaTek සංරචකවල ඇති අවදානම වාර්තාවල සඳහන් නොවේ.
එහි මූලයන් නිසා අවදානම සිත්ගන්නා සුළුය. 2011 දී, Apple විසින් Apache 2.0 බලපත්රය යටතේ ALAC කෝඩෙක්හි ප්රභව කේතය විවෘත කරන ලද අතර එමඟින් ගුණාත්මකභාවය නැති නොවී ශ්රව්ය දත්ත සම්පීඩනය කිරීමට ඉඩ ලබා දෙන අතර කෝඩෙක්ට අදාළ සියලුම පේටන්ට් බලපත්ර භාවිතා කිරීමට හැකි විය. කේතය ප්රකාශයට පත් කරන ලද නමුත් නඩත්තු නොකළ අතර පසුගිය වසර 11 තුළ එය වෙනස් කර නොමැත. ඒ අතරම, Apple විසින් එහි ඇති දෝෂ සහ දුර්වලතා ඉවත් කිරීම ඇතුළුව එහි වේදිකාවල භාවිතා කරන ක්රියාත්මක කිරීම සඳහා වෙන වෙනම සහාය දැක්වීම දිගටම කරගෙන ගියේය. MediaTek සහ Qualcomm ඔවුන්ගේ ALAC කෝඩෙක් ක්රියාත්මක කිරීම් Apple හි මුල් විවෘත කේත කේතය මත පදනම් වූ නමුත් Apple විසින් ක්රියාත්මක කිරීමේදී ආමන්ත්රණය කරන ලද දුර්වලතා ඔවුන්ගේ පැච් වල ඇතුළත් කර නැත.
යල්පැන ගිය ALAC කේතය භාවිතා කරන වෙනත් නිෂ්පාදනවල කේතයේ ඇති අවදානම ගැන තවමත් තොරතුරු නොමැත. උදාහරණයක් ලෙස, ALAC ආකෘතිය FFmpeg 1.1 සිට සහය දක්වා ඇත, නමුත් විකේතනය ක්රියාත්මක කිරීම සමඟ කේතය සක්රියව පවත්වාගෙන යයි.
මූලාශ්රය: opennet.ru