联发科漏洞影响智能手机、平板、WiFi 等芯片集

于 2023-07-05 17:23:33 发布
阅读量2.1k 收藏 2
点赞数 1
文章标签: 智能手机 电脑
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247516937&idx=2&sn=65d504384b5ecc49b9c872f25971c1d9&chksm=ea94b263dde33b75aa7bd18b0397741b6641cd7b8e5a8e4ccfb85a349ff055e359e2aaccdaf6&scene=126&sessionid=0
版权
联发科发布2023年7月安全公告,披露了24个安全漏洞,主要涉及智能手机和平板等设备的芯片组。其中,CVE-2023-20754和CVE-2023-20755被评为高危漏洞,可能导致界外读取和本地提权,影响多款MTK芯片和Android11.0至13.0版本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

f9c10ebee94ba86e10baa2aa4611f6fd.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

联发科在2023年7月产品安全公告中披露了24个漏洞,影响适用于智能手机、平板、AIoT、智能展示、OTT和 WiFi 的芯片集。其中,CVE-2023-20754和CVE-2023-20755被评级为“高危”漏洞。

6b438b0c842fb347fc212e7b5211add0.png

522fbc571bdfc95078b1354bdea868fd.png

高危漏洞

CVE-2023-20754是位于 keyinstall 中的整数溢出漏洞,可能会导致界外读后果。执行该攻击要求系统执行权限和本地提权,无需用户交互。受影响的芯片集包括:MT6580、MT6731、MT6735、MT6737、MT6739、MT6753、MT6757、MT6757C、MT6757CD、MT6757CH、MT6761、MT6762、MT6763、MT6765、MT6768、MT6769、MT6771、MT6779、MT6781、MT6785、MT6789、MT6833、MT6835、MT6853、MT6853T、MT6855、MT6873、MT6875、MT6877、MT6879、MT6883、MT6885、MT6886、MT6889、MT6891、MT6893、MT6895、MT6983、MT6985、MT8185、MT8321、MT8385、MT8666、MT8667、MT8765、MT8766、MT8768、MT8781、MT8786、MT8788、MT8789、MT8791、MT8791T和MT8797。受影响软件版本为安卓11.0、12.0和13.0。

CVE-2023-20755是位于 keyinstall 中的输入验证不当漏洞,可能导致界外读,从而造成本地提权。利用该漏洞要求系统执行权限,无需用户交互。受影响芯片集包括:MT6580、MT6731、MT6735、MT6737、MT6739、MT6753、MT6757、MT6757C、MT6757CD、MT6757CH、MT6761、MT6762、MT6763、MT6765、MT6768、MT6769、MT6771、MT6779、MT6781、MT6785、MT6789、MT6833、MT6835、MT6853、MT6853T、MT6855、MT6873、MT6875、MT6877、MT6879、MT6883、MT6885、MT6886、MT6889、MT6891、MT6893、MT6895、MT6983、MT6985、MT8185、MT8321、MT8385、MT8666、MT8667、MT8765、MT8766、MT8768、MT8781、MT8786、MT8788、MT8789、MT8791、MT8791T和MT8797。受影响软件版本包括安卓11.0、12.0和13.0。

058824ce25fddf448acbe31ec14cdf91.png

中危漏洞

如下漏洞为中危级别的漏洞:

  • CVE-2023-20753:界外写

  • CVE-2023-20756:整数溢出或回绕

  • CVE-2023-20757:cmdq中的输入验证不当漏洞

  • CVE-2023-20758:cmdq中的输入验证不当漏洞

  • CVE-2023-20759:cmdq中的输入验证不当漏洞

  • CVE-2023-20760:apu中的输入验证不当漏洞

  • CVE-2023-20761:ril中的输入验证不当漏洞

  • CVE-2023-20766:gps中的输入验证不当漏洞

  • CVE-2023-20767:pqframework中的输入验证不当漏洞

  • CVE-2023-20768:使用不兼容类型访问资源(“类型混淆”)

  • CVE-2023-20771:通过同步不当的共享资源导致并行执行(“条件竞争”)

  • CVE-2023-20772: 认证不当

  • CVE-2023-20773: 认证不当

  • CVE-2023-20774: 显示中的输入验证不当

  • CVE-2023-20775:在没有检查输入大小的情况下造成的缓冲区复制(“典型的缓冲区溢出”)

  • CVE-2023-20689:整数溢出导致的缓冲区溢出

  • CVE-2023-20690:整数溢出导致的缓冲区溢出

  • CVE-2023-20691:整数溢出导致的缓冲区溢出

  • CVE-2023-20692:空指针解引用

  • CVE-2023-20693:空指针解引用

  • CVE-2022-32666:关键信息的UI错误表达

  • CVE-2023-20748:输入验证不当

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

联发科固件现窃听漏洞,影响全球约三分之一的手机和物联网设备

谷歌在三星Exynos 芯片集中发现18个0day漏洞

谷歌Titan M 芯片的这个严重漏洞,从1万跳涨到7.5万美元

无线共存:利用蓝牙和 WiFi 性能特性实现芯片间提权

专门针对苹果 M1 芯片的首款恶意软件已现身

FPGA 芯片被曝严重的 Starbleed 漏洞,影响数据中心IoT工业设备等

原文链接

https://gbhackers.com/mediatek-security-flaws/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

d98661d1a871e060c8ac7e660d46819b.jpeg

1e257f564c73c006cf5768c7dd4178a6.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   5dc072a320305ead800bc30447c80c1b.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值