全球领先的无晶圆半导体公司联发科技发布安全公告,披露其芯片组产品线存在多个漏洞。这些漏洞影响了一系列设备,包括智能手机、平板电脑、AIoT 设备、智能显示器等。这些漏洞的严重程度从中度到高度不等,有可能导致权限升级、任意代码执行和信息泄露。
高严重性漏洞带来重大风险
两个高严重性漏洞尤其值得关注:
- CVE-2024-20104(DA 中的越界写入): 该漏洞存在于 MT6781、MT6789、MT6835 等芯片组中,攻击者可利用 DA 组件中的越界写入漏洞提升权限。虽然该漏洞需要用户交互才能成功利用,但它强调了用户在避免潜在恶意链接或下载时保持警惕的重要性。受影响的操作系统包括 Android 12-15、openWRT 19.07、Yocto 4.0 和 RDK-B 22Q3。
- CVE-2024-20106(m4u 中的类型混乱): 该漏洞无需用户交互即可利用,因此风险较大。m4u 组件中的类型混乱漏洞可使攻击者利用系统权限执行任意代码,从而可能导致设备完全受控。受影响的芯片组包括 MT6739、MT6761、MT6765 和其他芯片组,特别是运行 Android 12-15 的设备。
中等严重性漏洞也需要关注
除了高严重性漏洞外,公告还详细介绍了许多中等严重性漏洞。这些漏洞主要涉及各种组件中的越界读写漏洞,包括 DA、atci、ccu、isp、mms 和 KeyInstall。这些漏洞可能导致信息泄露、权限升级或拒绝服务。
缓解和补救措施
联发科已向设备制造商提供了必要的修补程序。我们强烈建议用户在设备供应商提供最新安全更新后立即安装。我们敦促制造商加快补丁程序,以保护其客户。
更多信息
有关每个漏洞的详细信息,包括受影响的芯片组和操作系统版本,请参阅官方的联发科技产品安全公告。