|
|
发表于 2022-4-25
音频应用
|
|阅读模式
高通与联发科手机处理器芯片使用存在漏洞的声音解码器( H5 c5 U. s; ?5 K) R8 e# \9 x
: J, [6 j" G5 G/ a4 p9 a苹果研发的无失真声音压缩格式ALAC,于2011年开放相关原始码,而使得其他厂牌的装置也能支持这类格式,但苹果在发布之后,未曾针对这些公开的原始码进行维护,而使得导入这些原始码的装置曝露于危险。资安业者CheckPoint指出,他们在高通与联发科的行动装置芯片里,就采用了这些老旧的原始码支持播放ALAC档案,攻击者一旦利用相关漏洞,将能透过错误格式的声音档案,在行动装置上发动RCE攻击,恐有三分之二的安卓装置受到波及。+ T1 D: @0 H2 @$ ]/ a5 r5 g3 @
j. h2 m/ j8 r/ l0 c3 D! T; Y经研究人员通报后,高通与联发科皆于2021年12月予以修补,前者将上述漏洞登记为CVE-2021-30351,后者则是以CVE-2021-0674与CVE-2021-0675列管。+ \& q% c0 k: Z3 p) u2 `
: ~3 z. H2 s9 y- W* O威联通公告部分NAS机种可能存在ApacheHTTP服务器漏洞,并提出缓解措施
. |1 r# c) Y: w. L' K# r( n' y4 D+ R, a* Z
Apache基金会于3月中旬,发布网页服务器软件HTTPServer的2.4.53版,修补数个漏洞,最近有NAS业者公布旗下产品受到影响的情况。威联通于4月20日发出资安通告指出,Apache于2.4.53版网页服务器软件里总共修补了4个漏洞:CVE-2022-22719、CVE-2022-22720、CVE-2022-22721、CVE-2022-23943,该公司的NAS设备主要是受到CVE-2022-22721与CVE-2022-23943影响,前者影响执行32位版系统的设备,后者则与启用mod_sed的ApacheHTTPServer有关。1 Y5 n1 X9 \! T, G2 N
9 G4 w9 a- H: b0 v! x$ A
该公司表示,他们仍在针对漏洞的影响范围进一步调查,并尽快提供更新软件,但用户可先透过调整相关设定来缓解漏洞带来的风险。例如,该公司建议将LimitXMLRequestBody的参数调回预设的1M,来缓解CVE-2022-22721;而针对CVE-2022-23943,他们建议停用mod_sed模块来因应。 |
|
