Lỗ hổng thực thi mã từ xa trong Chipset MediaTek ảnh hưởng đến hàng triệu người dùng

12:00 | 14/01/2025 | TIN TỨC SẢN PHẨM

Đầu tháng 01/2025, MediaTek đã thông báo một loạt các lỗ hổng bảo mật ảnh hưởng đến các chipset của hãng, bao gồm các sản phẩm từ điện thoại thông minh, máy tính bảng cho đến các thiết bị IoT và TV thông minh.

Lỗ hổng thực thi mã từ xa trong Chipset MediaTek ảnh hưởng đến hàng triệu người dùng

Theo đó, lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng nhất định danh CVE-2024-20154, đây là lỗ hổng tràn ngăn xếp trong phần mềm modem của MediaTek với chỉ số CWE-121 và có thể bị khai thác bằng cách kết nối thiết bị người dùng với một trạm gốc giả mạo do kẻ tấn công kiểm soát. Không yêu cầu tương tác của người dùng hay quyền hạn nâng cao để khai thác lỗ hổng này. Lỗ hổng này ảnh hưởng đến hơn 40 mẫu sản phẩm, bao gồm các dòng chipset MT2735, MT6767, MT6785, MT6873, MT6880.

Một số lỗ hổng nghiêm trọng khác, bao gồm các lỗ hổng viết ngoài giới hạn trong hệ thống quản lý năng lượng định danh CVE-2024-20140 và trong hệ thống Âm thanh Kỹ thuật số định danh CVE-2024-20143, CVE-2024-20144 và CVE-2024-20145. Những lỗ hổng này có thể dẫn đến việc leo thang đặc quyền cục bộ, giúp kẻ tấn công có thể truy cập trái phép vào dữ liệu nhạy cảm hoặc chức năng hệ thống.

Một số lỗ hổng khác cũng được đề cập trong driver WLAN định danh CVE-2024-20146, CVE-2024-20148 có thể dẫn đến thực thi mã từ xa và lỗ hổng viết ngoài giới hạn trong M4U subsystem định danh CVE-2024-20105 có thể cho phép leo thang đặc quyền cục bộ.

MediaTek đã thông báo cho các nhà sản xuất thiết bị về những lỗ hổng này và cung cấp các bản vá bảo mật tương ứng. Người dùng được khuyến nghị kiểm tra các bản cập nhật từ nhà sản xuất thiết bị và cài đặt sớm để tránh các rủi ro đáng tiếc.

M.H

‹ › ×

Tin liên quan

Lỗ hổng CVE-2025-1240 trong WinZip cho phép kẻ tấn công thực thi mã tùy ý

08:00 | 21/02/2025

Một lỗ hổng định danh CVE-2025-1240 với điểm CVSS 7,8 được phát hiện trong phần mềm giải nén Winzip có khả năng cho phép kẻ tấn công từ xa thực thi mã tùy ý trên các hệ thống bị ảnh hưởng. Đây là một lỗ hổng Out-Of-Bound Write cho phép ghi ngoài vùng nhớ được cấp phát của chương trình.

Apache sửa lỗi bỏ qua thực thi mã từ xa trong máy chủ web Tomcat

10:00 | 31/12/2024

Apache đã phát hành bản cập nhật bảo mật để giải quyết lỗ hổng quan trọng trong máy chủ web Tomcat có thể khiến kẻ tấn công thực thi mã từ xa.

Google Project Zero phát hiện ra lỗ hổng Zero-Click trên các thiết bị Samsung

22:00 | 25/01/2025

Các nhà nghiên cứu an ninh mạng đã trình bày chi tiết về một lỗ hổng bảo mật hiện đã được vá, ảnh hưởng đến bộ giải mã Monkey's Audio (APE) trên điện thoại thông minh Samsung, có thể dẫn đến việc thực thi mã trái phép.

Apache OFBiz vá lỗ hổng nghiêm trọng cho phép thực thi mã từ xa

14:00 | 11/09/2024

Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.

Fortinet phát hành bản vá cho lỗ hổng thực thi mã từ xa

08:00 | 21/03/2024

Mới đây, Fortinet đã phát hành bản vá cho các lỗ hổng bảo mật. Trong đó, có 2 lỗ hổng nghiêm trọng dẫn đến việc thực thi mã từ xa có định danh CVE-2023-42789 và CVE-2023-48788.

Tin cùng chuyên mục

Nhiều ứng dụng, tài khoản mạo danh DeepSeek để lừa đảo

10:00 | 20/02/2025

Trong chưa đầy 2 tháng, đã có hơn 2.600 trang web giả mạo DeepSeek được tạo ra. Các trang web này mạo danh để thu phí, bán cổ phiếu, phát hành tiền mã hóa không có thật.

TikTok đặt cược lớn vào Thái Lan với trung tâm dữ liệu gần 3,8 tỷ USD

10:00 | 14/02/2025

TikTok tiếp tục khẳng định vị thế trên thị trường công nghệ với dự án đầu tư gần 3,8 tỷ USD cho trung tâm dữ liệu tại Thái Lan. Động thái này diễn ra trong bối cảnh hàng loạt "ông lớn" công nghệ toàn cầu cũng đang đổ xô vào xây dựng các dự án điện toán đám mây tại xứ sở chùa Vàng.

Microsoft mạnh tay chi 80 tỷ USD cho phát triển trí tuệ nhân tạo

16:00 | 28/01/2025

Trong một bài đăng trên blog đầu tháng 01 vừa qua, Chủ tịch Microsoft, ông Brad Smith cho biết AI đang biến đổi mọi khía cạnh của cuộc sống và Mỹ cần phải là quốc gia dẫn đầu toàn cầu về công nghệ này.