Уязвимость BDU:2022-05095

Идентификатор: BDU:2022-05095.

Наименование уязвимости: Уязвимость библиотеки libMtkOmxAlacDec.so декодера ALAC микропрограммного обеспечения телефонов Sony Xperia серий 1, 5, и Pro, позволяющая нарушителю.

Описание уязвимости: Уязвимость библиотеки libMtkOmxAlacDec.so декодера ALAC микропрограммного обеспечения телефонов Sony Xperia серий 1, 5, и Pro связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Микропрограммный код Sony Group Corporation Sony Xperia 1 — | Микропрограммный код Sony Group Corporation Sony Xperia 5 — | Микропрограммный код Sony Group Corporation Sony Xperia Pro — |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 17.08.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению:
Компенсирующие меры:
— использование средств антивирусной защиты для проверки загружаемых/запускаемых аудио-файлов;
— запрет открытия и использования аудио-файлов, полученных из недоверенных источников..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2022-23747.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://vuldb.com/?id.206672
https://github.com/macosforge/alac
https://cpr-zero.checkpoint.com/vulns/cprid-2191/
https://research.checkpoint.com/2022/bad-alac-one-codec-to-hack-the-whole-world/