MediaTek (CVE-2021-0674, CVE-2021-0675) మరియు Qualcomm (CVE-2021-30351) అందించే ALAC (యాపిల్ లాస్లెస్ ఆడియో కోడెక్) ఆడియో కంప్రెషన్ ఫార్మాట్ డీకోడర్లలో ఒక దుర్బలత్వాన్ని చెక్ పాయింట్ గుర్తించింది. ALAC ఫార్మాట్లో ప్రత్యేకంగా ఫార్మాట్ చేయబడిన డేటాను ప్రాసెస్ చేస్తున్నప్పుడు అటాకర్ కోడ్ని అమలు చేయడానికి సమస్య అనుమతిస్తుంది.
మీడియాటెక్ మరియు క్వాల్కామ్ చిప్లతో కూడిన ఆండ్రాయిడ్ ప్లాట్ఫారమ్ను అమలు చేసే పరికరాలను ఇది ప్రభావితం చేస్తుందనే వాస్తవం ద్వారా దుర్బలత్వం యొక్క ప్రమాదం తీవ్రతరం అవుతుంది. దాడి ఫలితంగా, దాడి చేసే వ్యక్తి కెమెరా నుండి డేటాతో సహా వినియోగదారు కమ్యూనికేషన్లు మరియు మల్టీమీడియా డేటాకు యాక్సెస్ ఉన్న పరికరంలో మాల్వేర్ అమలును నిర్వహించవచ్చు. ఆండ్రాయిడ్ ప్లాట్ఫారమ్ ఆధారంగా స్మార్ట్ఫోన్ వినియోగదారులందరిలో 2/3 మంది ఈ సమస్యతో బాధపడుతున్నారని అంచనా. ఉదాహరణకు, USలో, MediaTek మరియు Qualcomm చిప్లతో షిప్పింగ్ చేయబడిన 4 2021వ త్రైమాసికంలో విక్రయించబడిన అన్ని Android స్మార్ట్ఫోన్ల మొత్తం వాటా 95.1% (48.1% - MediaTek, 47% - Qualcomm).
దుర్బలత్వం యొక్క దోపిడీకి సంబంధించిన వివరాలు ఇంకా బహిర్గతం చేయబడలేదు, అయితే ఆండ్రాయిడ్ ప్లాట్ఫారమ్ కోసం MediaTek మరియు Qualcomm కాంపోనెంట్లు డిసెంబర్ 2021లో ప్యాచ్ చేయబడినట్లు నివేదించబడింది. ఆండ్రాయిడ్ ప్లాట్ఫారమ్లోని దుర్బలత్వాలపై డిసెంబరు నివేదిక క్వాల్కామ్ చిప్ల కోసం యాజమాన్య భాగాలలో సమస్యలను క్లిష్టమైన దుర్బలత్వాలుగా గుర్తించింది. MediaTek కాంపోనెంట్లలోని దుర్బలత్వం నివేదికలలో పేర్కొనబడలేదు.
దాని మూలాల కారణంగా దుర్బలత్వం ఆసక్తికరంగా ఉంటుంది. 2011లో, ఆపిల్ ALAC కోడెక్ యొక్క సోర్స్ కోడ్ను తెరిచింది, ఇది Apache 2.0 లైసెన్స్ క్రింద నాణ్యత కోల్పోకుండా ఆడియో డేటాను కుదింపు చేయడానికి అనుమతిస్తుంది మరియు కోడెక్కు సంబంధించిన అన్ని పేటెంట్లను ఉపయోగించడం సాధ్యం చేసింది. కోడ్ ప్రచురించబడింది కానీ నిర్వహించబడలేదు మరియు గత 11 సంవత్సరాలుగా మార్చబడలేదు. అదే సమయంలో, Apple దాని ప్లాట్ఫారమ్లలో ఉపయోగించిన అమలుకు విడిగా మద్దతునిస్తూనే ఉంది, అందులో లోపాలు మరియు దుర్బలత్వాలను తొలగించడం కూడా ఉంది. MediaTek మరియు Qualcomm వారి ALAC కోడెక్ అమలులను Apple యొక్క అసలైన ఓపెన్ సోర్స్ కోడ్పై ఆధారపడి ఉన్నాయి, అయితే Apple యొక్క అమలులో పేర్కొన్న దుర్బలత్వాలను వాటి ప్యాచ్లలో చేర్చలేదు.
గడువు ముగిసిన ALAC కోడ్ని ఉపయోగించే ఇతర ఉత్పత్తుల కోడ్లో దుర్బలత్వం గురించి ఇంకా సమాచారం లేదు. ఉదాహరణకు, FFmpeg 1.1 నుండి ALAC ఆకృతికి మద్దతు ఉంది, అయితే డీకోడర్ అమలుతో కోడ్ చురుకుగా నిర్వహించబడుతుంది.
మూలం: opennet.ru