MediaTek Patches High-Severity Vulnerability in Smartphone Chipsets (CVE-2024-20125)
2024/12/01 SecurityOnline — MediaTek がリリースいたのは、ユーザー・デバイスへの不正なアクセス/制御につながる可能性のある、深刻度の高い脆弱性に対処するための、最新の製品セキュリティ速報である。この脆弱性 CVE-2024-20125 の悪用に成功した攻撃者は、いくつかの MediaTek チップセットにおけるビデオ・デコーダー (vdec) コンポーネントの境界チェックの欠如を突くことが可能になる。
この境界外書き込みの脆弱性により、ローカル権限の昇格が可能になり、攻撃者に対してシステム実行権限が付与される可能性が生じる。この脆弱性が影響を及ぼす範囲は、スマートフォン/タブレットなどのデバイスで使用される、MT6580/MT6761/MT6765 チップセットとなる。
すでに MediaTek は、この脆弱性に対処するためのパッチをリリースし、今回の情報公開の2ヶ月前にデバイス・メーカー (OEM) に通知している。ユーザーに対して強く推奨されるのは、デバイス メーカーから最新のセキュリティ更新プログラムが提供される次第、デバイスを更新することである。
このセキュリティ情報では、深刻な脆弱性 CVE-2024-20125 に加えて、テレフォニーなどのコンポーネントにおける、境界外読み取り/スタック・オーバーフロー、例外処理のキャッチの失敗/到達可能なアサーションといった、Medium レベルの複数の脆弱性も取り上げている。これらの脆弱性が悪用されると、サービス拒否/情報漏洩などのセキュリティ・リスクにつながる可能性がある。
それらの脆弱性の影響は、以下の MediaTek チップセットの広範に及ぶが、それに限定さるわけではない。
- MT6761/MT6781/MT6985 チップセットを搭載するスマフォ/タブレット。
- MT8195/MT8390 を搭載する スマート・ディスプレイと OTT デバイス。
- MT7925/MT8518S に依存する IoT デバイス。
MediaTek がユーザーに推奨するのは、最新のソフトウェア・アップデートについて、デバイス・メーカーの Web サイトなどを確認することである。
この種の脆弱性情報は、ユーザー・サイドでダイレクトに対応できるものではないので、文中で指摘されているように、MediaTek チップセットを使っているデバイスの更新を待つ他に手はありません。スマフォのアップデートに気をつけましょう。よろしければ、MediaTek で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.