【安全资讯】联发科技安全公告揭示移动芯片组中的高危漏洞

概要：

联发科技作为全球领先的无晶圆半导体公司，近期发布了一份安全公告，披露了其芯片产品线中的多项漏洞。这些漏洞影响了包括智能手机、平板电脑、AIoT设备和智能显示器等多种设备，严重性从中等到高不等，可能导致权限提升、任意代码执行和信息泄露等风险。

主要内容：

公告中特别提到两项高危漏洞：CVE-2024-20104（DA中的越界写入）：该漏洞存在于MT6781、MT6789、MT6835等芯片组中，攻击者可通过利用DA组件中的越界写入缺陷来提升权限。尽管该漏洞需要用户交互才能成功利用，但这强调了用户在避免潜在恶意链接或下载时的警惕性。受影响的操作系统包括Android 12-15、openWRT 19.07、Yocto 4.0和RDK-B 22Q3。

CVE-2024-20106（m4u中的类型混淆）：此漏洞的风险更大，因为它可以在没有用户交互的情况下被利用。m4u组件中的类型混淆缺陷可能使攻击者以系统权限执行任意代码，导致设备完全被攻陷。受影响的芯片组包括MT6739、MT6761、MT6765等，特别是在运行Android 12-15的设备上。

除了高危漏洞，公告还详细列出了多项中等严重性缺陷，主要涉及DA、atci、ccu、isp、mms和KeyInstall等组件中的越界读写漏洞。这些漏洞可能导致信息泄露、权限提升或拒绝服务等情况。联发科技已向设备制造商提供了必要的补丁，用户被强烈建议尽快安装来自设备供应商的最新安全更新。