关键的联发科芯片组漏洞影响15亿手机用户

联发科（MediaTek）是全球领先的Android平板电脑和智能手机芯片供应商，同时也是全球第二大智能手机芯片制造商，拥有超过15亿活跃的Android设备。该公司以其集成的先进5G、人工智能、成像、连接和游戏技术而闻名，致力于提供高性能解决方案，以增强全球范围内各种设备的用户体验。

然而，最近联发科在其芯片组中发现了一系列的安全漏洞，这些漏洞不仅影响了多个版本的Android系统，还波及到了其他相关软件平台。这些安全漏洞被详细记录在最新的安全公告中，它们带来了重大风险，包括权限提升和服务拒绝攻击。

其中，一个被标记为CVE-2024-20125的关键漏洞涉及到视频解码组件（vdec）中的越界写入问题。这个缺陷可能导致本地权限提升，使得攻击者能够在无需用户交互的情况下获得系统执行权限。联发科在安全公告中指出：“在vdec组件中，由于缺少边界检查，可能发生越界写入，这可能导致具有系统执行权限的本地权限提升，攻击者可以无需用户交互即可利用这一漏洞。”

受影响的芯片组包括MT6580、MT6761、MT6765、MT6768等，这些漏洞主要影响运行Android 13.0和14.0操作系统的设备。

具体漏洞列表与影响如下：

除此之外，还有一些额外的漏洞影响范围超出了Android系统，涉及到openWRT、Yocto和RDK-B等平台。例如，CVE-2024-20136是一个存在于DA（数据聚合）组件中的越界读取漏洞，可能导致本地信息泄露，影响包括openWRT 19.07和Yocto 4.0在内的广泛芯片组和软件版本。CVE-2024-20137、CVE-2024-20138和CVE-2024-20139则是涉及wlan和蓝牙组件的问题，可能导致客户端断开连接和信息泄露，影响SDK版本和其他平台。

联发科已经承认了这些安全漏洞，并强烈敦促相关组织立即更新受影响的系统以防范潜在风险。为了帮助用户及时发现并报告新的安全问题，该公司在其官方网站上提供了一个报告机制，以便用户披露任何其他发现的安全漏洞。