此篇文章深入介紹了聯發科針對其廣泛產品線所發佈的一份全面安全公告,該公告解決了在其晶片組中發現的16個嚴重漏洞,這些漏洞影響了智慧型手機、物聯網平台及各類設備。根據通用漏洞評分系統(CVSS v3.1)的評估,這些漏洞分為七個高風險漏洞和九個中等風險漏洞,涉及藍牙、WLAN等多個系統組件。該公告也強調,受影響的設備OEM廠商在公告發布前的兩個月內已經收到通知及相應的安全補丁,並有足夠的時間來實施修補措施。
文章提到,聯發科的安全公告指出,這些漏洞主要影響其廣泛的晶片組產品組合,從智慧型手機晶片組到物聯網設備、智慧顯示器、平板電腦及電視晶片組等各類設備。其中,七個高風險漏洞對系統的完整性造成了極大威脅,可能會導致權限提升、遠端程式碼執行(RCE)以及整個系統的入侵。更嚴重的是,這些漏洞無需使用者互動即可被駭客利用。在這些高風險漏洞中,CVE-2025-20680 是影響晶片組的藍牙驅動程式的堆溢位漏洞,可能導致本地端化攻擊(EoP),並且漏洞源自於過時版本的NB SDK中的錯誤邊界檢查。另外,數個WLAN AP驅動程序漏洞(CVE-2025-20681至CVE-2025-20684)也同樣存在越界寫入條件,駭客可通過這些漏洞提升權限,並無需任何用戶互動。最為關鍵的是CVE-2025-20685和CVE-2025-20686這兩個漏洞,這些漏洞位於WLAN AP驅動程式中的堆疊溢出條件,駭客能夠利用這些漏洞執行任意程式碼,這使得攻擊者能夠在沒有額外權限的情況下遠程控制受影響的設備。
除了高風險漏洞,聯發科的公告中也提到九個中等風險的漏洞,這些漏洞主要涉及資訊外洩和拒絕服務(DoS)攻擊。這些漏洞會影響包括MT6835、MT6878、MT6899等在內的多款晶片組,其中一些藍牙驅動程式存在越界讀取條件,可能會導致設備遭遇資訊外洩或是系統崩潰。其中,CVE-2025-20694和CVE-2025-20695是藍牙驅動程式中發現的緩衝區下溢漏洞,這些漏洞可能會導致系統崩潰。這些中等風險漏洞雖然不如高風險漏洞嚴重,但仍然會對系統造成潛在威脅。
為了應對這些漏洞,聯發科已經針對受影響的硬體平台提供了安全更新,這些更新涵蓋了智慧型手機晶片組、平板電腦處理器、AIoT設備、智慧顯示器、OTT平台等多種類型的產品。作者強調,設備製造商應該優先實施這些安全補丁,以減少可能的利用風險,並確保其產品的系統完整性。此外,受影響的軟體版本包括各版本的Android、openWRT、Yocto發行版等,設備製造商需要根據不同的軟體版本來進行更新,防範潛在的安全風險。
本文總結道,聯發科的這份安全公告凸顯了在當前智慧型手機、物聯網等設備中,安全漏洞對企業及用戶的風險。隨著數位轉型的加速,網絡安全的重要性也愈加突出,企業和設備製造商需要高度重視這些漏洞,並及時安裝更新來保障系統安全。隨著駭客攻擊手段的不斷升級,積極防範這些高風險漏洞將是未來保護設備安全的關鍵。
閱讀完整文章: https://cybersecuritynews.com/mediatek-july-2025-security-update/
