CVE-2024-20154: Critical RCE Flaw in MediaTek Chipsets Impacts Millions
2025/01/06 SecurityOnline — MediaTek が公開した January 2025 Product Security Bulletin は、同社の各種チップセットに影響を及ぼす、各種のセキュリティ脆弱性に対応するものだ。この勧告には、スマートフォン/タブレット/IoT デバイス/スマート TV などの製品に発見された、脆弱性の詳細が記載されている。
このセキュリティ勧告で取り上げられている脆弱性のうち、最も深刻なものは、MediaTek のモデム・ファームウェアにおける脆弱性 CVE-2024-20154 である。この脆弱性は “CWE-121” スタックバッファ・オーバーフローの脆弱性として分類されている。攻撃者が制御する不正な基地局に、UE (User Equipment) デバイスが接続された場合に、リモート・コード実行に至る可能性がある。なお、この脆弱性の悪用には、ユーザーの操作や特権への昇格は不要である。この脆弱性は、MT2735/MT6767/MT6785/MT6873/MT6880 などの、40以上の機種に影響を与える。
深刻度 High に分類された脆弱性は以下の通りである:
- CVE-2024-20140:Power Management の脆弱性
- CVE-2024-20143/CVE-2024-20144/CVE-2024-20145:Digital Audio subsystem の脆弱性
- CVE-2024-20105:M4U サブシステムの脆弱性
- CVE-2024-20146/CVE-2024-20148:WLAN ドライバの脆弱性
これら全ての脆弱性は、”CWE-787″ 境界外書き込みの脆弱性として分類されており、悪用に成功した攻撃者は、権限昇格やリモート・コード実行などの可能性を得る。
すでに MediaTek は、デバイス製造業者 (OEM:device manufacturers) に対して、これらの脆弱性に関する通知を送り、対応するセキュリティ・パッチを提供している。ユーザーに推奨されるのは、各ベンダからのアップデートを確認し、可能な限り早急に適用し、これらのセキュリティ・リスクを軽減することだ。
MediaTek チップセットの、複数の脆弱性が FIX しました。スマートフォン/タブレット/IoT デバイス/スマート TV などの製品に影響を及ぼすものとのことです。よろしければ、MediaTek で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.