Уязвимость BDU:2022-03869

Дата: 01.12.2021. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-03869.

Наименование уязвимости: Уязвимость декодера ALAC-файлов микропрограммного обеспечения микросхем MediaTek MT6570, MT6580, MT6735 и MT6737, позволяющая нарушителю повысить свои привилегии.

Описание уязвимости: Уязвимость декодера ALAC-файлов микропрограммного обеспечения микросхем MediaTek MT6570, MT6580, MT6735 и MT6737 связана с выходом операций за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии
Уязвимое ПО: Операционная система Google Inc. Android 8.1 | Операционная система Google Inc. Android 9.0 | Операционная система Google Inc. Android 10.0 | Операционная система Google Inc. Android 11.0 | Микропрограммный код MediaTek Inc. MT6570 – | Микропрограммный код MediaTek Inc. MT6580 – | Микропрограммный код MediaTek Inc. MT6735 – | Микропрограммный код MediaTek Inc. MT6737 – | Микропрограммный код MediaTek Inc. MT6739 – | Микропрограммный код MediaTek Inc. MT6750 – | Микропрограммный код MediaTek Inc. MT6750S – | Микропрограммный код MediaTek Inc. MT6753 – | Микропрограммный код MediaTek Inc. MT6755 – | Микропрограммный код MediaTek Inc. MT6755S – | Микропрограммный код MediaTek Inc. MT6757 – | Микропрограммный код MediaTek Inc. MT6757C – | Микропрограммный код MediaTek Inc. MT6757CD – | Микропрограммный код MediaTek Inc. MT6757CH – | Микропрограммный код MediaTek Inc. MT6758 – | Микропрограммный код MediaTek Inc. MT6761 – | Микропрограммный код MediaTek Inc. MT6763 – | Микропрограммный код MediaTek Inc. MT6765 – | Микропрограммный код MediaTek Inc. MT6768 – | Микропрограммный код MediaTek Inc. MT6771 – | Микропрограммный код MediaTek Inc. MT6779 – | Микропрограммный код MediaTek Inc. MT6781 – | Микропрограммный код MediaTek Inc. MT6785 – | Микропрограммный код MediaTek Inc. MT6797 – | Микропрограммный код MediaTek Inc. MT6799 – | Микропрограммный код MediaTek Inc. MT6833 – | Микропрограммный код MediaTek Inc. MT6853 – | Микропрограммный код MediaTek Inc. MT6853T – | Микропрограммный код MediaTek Inc. MT6873 – | Микропрограммный код MediaTek Inc. MT6877 – | Микропрограммный код MediaTek Inc. MT6883 – | Микропрограммный код MediaTek Inc. MT6885 – | Микропрограммный код MediaTek Inc. MT6889 – | Микропрограммный код MediaTek Inc. MT6893 – | Микропрограммный код MediaTek Inc. MT8163 – | Микропрограммный код MediaTek Inc. MT8167 – | Микропрограммный код MediaTek Inc. MT8167S – | Микропрограммный код MediaTek Inc. MT8168 – | Микропрограммный код MediaTek Inc. MT8173 – | Микропрограммный код MediaTek Inc. MT8175 – | Микропрограммный код MediaTek Inc. MT8176 – | Микропрограммный код MediaTek Inc. MT8183 – | Микропрограммный код MediaTek Inc. MT8185 – | Микропрограммный код MediaTek Inc. MT8195 – | Микропрограммный код MediaTek Inc. MT8321 – | Микропрограммный код MediaTek Inc. MT8362A – | Микропрограммный код MediaTek Inc. MT8365 – | Микропрограммный код MediaTek Inc. MT8385 – | Микропрограммный код MediaTek Inc. MT8765 – | Микропрограммный код MediaTek Inc. MT8766 – | Микропрограммный код MediaTek Inc. MT8768 – | Микропрограммный код MediaTek Inc. MT8786 – | Микропрограммный код MediaTek Inc. MT8788 – | Микропрограммный код MediaTek Inc. MT8789 – | Микропрограммный код MediaTek Inc. MT8791 – | Микропрограммный код MediaTek Inc. MT8797 – | Операционная система ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172 | Операционная система ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172 |

Наименование ОС и тип аппаратной платформы: Android 81 | Android 90 | Android 100 | Android 110 | ОС Аврора до 402172 F+ Life Tab Plus | ОС Аврора до 402172 Mashtab TrustPhone T1 |
Дата выявления: 01.12.2021.
CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению:
Использование рекомендаций:
Для MediaTek:
https://corp.mediatek.com/product-security-bulletin/December-2021

Для Android:
https://source.android.com/security/bulletin/2021-12-01

Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb15323
Для ОС Аврора 4.0.2: https://cve.omprussia.ru/bb16402.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-0675.

Тип ошибки CWE: CWE-119, CWE-787
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://corp.mediatek.com/product-security-bulletin/December-2021
https://source.android.com/security/bulletin/2021-12-01
https://nvd.nist.gov/vuln/detail/CVE-2021-0675
https://vuldb.com/?id.188429
https://cve.omprussia.ru/bb15323
https://cve.omprussia.ru/bb16402

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *