匯流新聞網

匯流新聞網記者徐以琳、王佐銘、李盛雯／台北報導

近日，全球網路安全解決方案廠商 Check Point Software的威脅情報部門Check Point Research於高通和聯發科的音訊解碼器中發現安全漏洞。該漏洞是基於一個 Apple 11 年前開源的程式碼，若未能及時修補，攻擊者將能夠遠端存取媒體和對話音訊，或透過惡意遠端程式碼執行威脅全球三分之二的行動裝置。

由Apple開發的保真壓縮音訊編解碼器（Apple Lossless Audio Codec，ALAC）是一種音訊編碼格式，2004年推出後，用於數位音樂的保真音訊壓縮，並於 2011 年底開源。ALAC 格式自此被應用於許多非 Apple 音訊播放設備和程式中，包括 Android 智慧型手機、Linux 和 Windows 媒體播放器及轉換器。此後 Apple 多次更新並修補其私有版本的解碼器，但開源版本自 2011 年以來就未再更新。然而Check Point Research 團隊發現，高通和聯發科都在其音訊解碼器中採用了含有安全漏洞的 ALAC。

Check Point Research表示，該漏洞不僅可能被攻擊者用於遠端程式碼執行、對行動裝置發起攻擊，還包含惡意軟體執行和攻擊者能成功控制使用者的多媒體資料，權限較低的Android應用程式更可利用這些漏洞提升權限，並存取使用者的媒體資料和對話紀錄。

Check Point Research逆向工程和安全研究部的Slava Makkaveev指出，這組漏洞將導致受害者只要播放攻擊者傳送的一份媒體檔案，便能成功注入惡意程式碼到權限較高的媒體服務中。攻擊者將能看到使用者在手機上查找的資訊，包含音訊及視訊等媒體服務並成功竊取資訊。

目前Check Point Research已向聯發科和高通揭露相關資訊，並與兩家廠商密切合作，確保盡快修復。聯發科將公司漏洞命名為CVE-2021-0674和CVE-2021-0675，目前已修復漏洞，並發佈在2021年12月聯發科產品安全佈告欄中；高通則在2021年12月高通安全佈告欄中發佈了該公司CVE-2021-30351的修補程式。

照片來源：Unsplash示意圖

《更多CNEWS匯流新聞網報導》

花花入菜！福容桃園店迎香花饌料理「美」食寵媽咪

房市降溫！永慶：升息、打炒房發酵 購屋族態度轉觀望

【文章轉載請註明出處】