高通与联发科手机处理器芯片使用存在漏洞的声音解码器

fx5000

高通与联发科手机处理器芯片使用存在漏洞的声音解码器
6 N4 n2 }! e" R9 w
6 F$ ^4 ~7 M& n) u0 H; B5 U苹果研发的无失真声音压缩格式ALAC，于2011年开放相关原始码，而使得其他厂牌的装置也能支持这类格式，但苹果在发布之后，未曾针对这些公开的原始码进行维护，而使得导入这些原始码的装置曝露于危险。资安业者CheckPoint指出，他们在高通与联发科的行动装置芯片里，就采用了这些老旧的原始码支持播放ALAC档案，攻击者一旦利用相关漏洞，将能透过错误格式的声音档案，在行动装置上发动RCE攻击，恐有三分之二的安卓装置受到波及。

5 m7 P  d! F" b5 W2 ?经研究人员通报后，高通与联发科皆于2021年12月予以修补，前者将上述漏洞登记为CVE-2021-30351，后者则是以CVE-2021-0674与CVE-2021-0675列管。
+ w" s) N* `* z
威联通公告部分NAS机种可能存在ApacheHTTP服务器漏洞，并提出缓解措施

/ Y5 ?  V6 ~6 G6 c% J4 @, G3 sApache基金会于3月中旬，发布网页服务器软件HTTPServer的2.4.53版，修补数个漏洞，最近有NAS业者公布旗下产品受到影响的情况。威联通于4月20日发出资安通告指出，Apache于2.4.53版网页服务器软件里总共修补了4个漏洞：CVE-2022-22719、CVE-2022-22720、CVE-2022-22721、CVE-2022-23943，该公司的NAS设备主要是受到CVE-2022-22721与CVE-2022-23943影响，前者影响执行32位版系统的设备，后者则与启用mod_sed的ApacheHTTPServer有关。
) U+ g- j- K  P9 A, o* P2 s4 p) a6 G
" Y/ q9 }. P: b- ~该公司表示，他们仍在针对漏洞的影响范围进一步调查，并尽快提供更新软件，但用户可先透过调整相关设定来缓解漏洞带来的风险。例如，该公司建议将LimitXMLRequestBody的参数调回预设的1M，来缓解CVE-2022-22721；而针对CVE-2022-23943，他们建议停用mod_sed模块来因应。