I-Check Point ichonge ubuthathaka kwi-ALAC (i-Apple Lossless Audio Codec) i-audio compression decoders yefomathi enikezelwa yi-MediaTek (CVE-2021-0674, CVE-2021-0675) kunye ne-Qualcomm (CVE-2021-30351). Ingxaki ivumela ikhowudi yomhlaseli ukuba iqhutywe xa kusetyenzwa idatha efomathiweyo ngokukodwa kwifomathi ye-ALAC.
Опасность уязвимости усугубляется тем, что она затрагивает устройства под управлением платформы Android, оснащённые чипами MediaTek и Qualcomm. В результате атаки злоумышленник может организовать выполнение вредоносного ПО на устройстве, имеющего доступ к общению пользователя и мультимедийным данным, включая данные с камеры. По приблизительно оценке проблеме подвержены 2/3 всех пользователей смартфонов на базе платформы Android. Например, в США общая доля всех проданных в 4 квартале 2021 года Android-смартфонов, поставляемых с чипами MediaTek and Qualcomm, составила 95.1% (48.1% — MediaTek, 47% — Qualcomm).
Детали эксплуатации уязвимости пока не раскрываются, но сообщается, что в компоненты MediaTek и Qualcomm для платформы Android исправления были внесены в декабре 2021 года. В декабрьском отчёте об уязвимостях в платформе Android проблемы отмечены как критические уязвимости в закрытых компонентах для чипов Qualcomm. Уязвимость в компонентах MediaTek в отчётах не упоминается.
Ubuthathaka bunika umdla ngenxa yeengcambu zabo. Kwi-2011, i-Apple yavula ikhowudi yomthombo we-codec ye-ALAC, evumela ukunyanzeliswa kwedatha ye-audio ngaphandle kokulahlekelwa ngumgangatho, phantsi kwelayisensi ye-Apache 2.0, kwaye yenza kube lula ukusebenzisa zonke iipatent ezinxulumene ne-codec. Ikhowudi yapapashwa kodwa ishiywe ingagcinwanga kwaye ayizange itshintshwe kwiminyaka eyi-11 edlulileyo. Ngelo xesha, i-Apple yaqhubeka ixhasa ngokwahlukileyo ukuphunyezwa okusetyenziswe kwiiplatifti zayo, kubandakanywa nokuphelisa iimpazamo kunye nobuthathaka kuyo. I-MediaTek kunye ne-Qualcomm basekwe ukuphunyezwa kwe-codec yabo ye-ALAC kwikhowudi yomthombo ovulekileyo we-Apple, kodwa ayiquki ubuthathaka obujongwe ekuphunyezweni kwe-Apple kwiipatches zabo.
Akukho lwazi okwangoku malunga nokuba sesichengeni kwikhowudi yezinye iimveliso ezikwasebenzisa ikhowudi ye-ALAC yakudala. Ngokomzekelo, ifomathi ye-ALAC ixhaswe ukususela kwi-FFmpeg 1.1, kodwa ikhowudi enokuphunyezwa kwe-decoder igcinwa ngokusebenzayo.
umthombo: opennet.ru
