聯(lián)發(fā)科（MediaTek）是全球領(lǐng)先的Android平板電腦和智能手機(jī)芯片供應(yīng)商，同時(shí)也是全球第二大智能手機(jī)芯片制造商，擁有超過15億活躍的Android設(shè)備。該公司以其集成的先進(jìn)5G、人工智能、成像、連接和游戲技術(shù)而聞名，致力于提供高性能解決方案，以增強(qiáng)全球范圍內(nèi)各種設(shè)備的用戶體驗(yàn)。

　　然而，最近聯(lián)發(fā)科在其芯片組中發(fā)現(xiàn)了一系列的安全漏洞，這些漏洞不僅影響了多個(gè)版本的Android系統(tǒng)，還波及到了其他相關(guān)軟件平臺(tái)。這些安全漏洞被詳細(xì)記錄在最新的安全公告中，它們帶來了重大風(fēng)險(xiǎn)，包括權(quán)限提升和服務(wù)拒絕攻擊。

　　其中，一個(gè)被標(biāo)記為CVE-2024-20125的關(guān)鍵漏洞涉及到視頻解碼組件（vdec）中的越界寫入問題。這個(gè)缺陷可能導(dǎo)致本地權(quán)限提升，使得攻擊者能夠在無需用戶交互的情況下獲得系統(tǒng)執(zhí)行權(quán)限。聯(lián)發(fā)科在安全公告中指出：“在vdec組件中，由于缺少邊界檢查，可能發(fā)生越界寫入，這可能導(dǎo)致具有系統(tǒng)執(zhí)行權(quán)限的本地權(quán)限提升，攻擊者可以無需用戶交互即可利用這一漏洞。”

　　受影響的芯片組包括MT6580、MT6761、MT6765、MT6768等，這些漏洞主要影響運(yùn)行Android 13.0和14.0操作系統(tǒng)的設(shè)備。

　　具體漏洞列表與影響如下：

　　除此之外，還有一些額外的漏洞影響范圍超出了Android系統(tǒng)，涉及到openWRT、Yocto和RDK-B等平臺(tái)。例如，CVE-2024-20136是一個(gè)存在于DA（數(shù)據(jù)聚合）組件中的越界讀取漏洞，可能導(dǎo)致本地信息泄露，影響包括openWRT 19.07和Yocto 4.0在內(nèi)的廣泛芯片組和軟件版本。CVE-2024-20137、CVE-2024-20138和CVE-2024-20139則是涉及wlan和藍(lán)牙組件的問題，可能導(dǎo)致客戶端斷開連接和信息泄露，影響SDK版本和其他平臺(tái)leyu·樂魚。

　　聯(lián)發(fā)科已經(jīng)承認(rèn)了這些安全漏洞，并強(qiáng)烈敦促相關(guān)組織立即更新受影響的系統(tǒng)以防范潛在風(fēng)險(xiǎn)。為了幫助用戶及時(shí)發(fā)現(xiàn)并報(bào)告新的安全問題，該公司在其官方網(wǎng)站上提供了一個(gè)報(bào)告機(jī)制，以便用戶披露任何其他發(fā)現(xiàn)的安全漏洞。leyu·樂魚

　　來源：FreeBuf