看雪学苑 2025-10-10 17:59 上海
联发科发公告修多芯片漏洞
联发科(MediaTek)已发布2025年10月产品安全公告,披露了一系列高、中危漏洞。这些漏洞影响范围广泛,涉及该公司多款Wi-Fi(无线局域网/WLAN)及全球导航卫星系统(GNSS)芯片组,可能对搭载相关芯片的消费电子与物联网设备造成安全威胁。一、Wi-Fi组件现高危漏洞,多型号芯片受影响该安全公告的核心内容聚焦于联发科Wi-Fi芯片组的安全隐患,这些芯片广泛应用于各类消费设备(如智能手机、路由器)和物联网(IoT)设备中,受影响的芯片家族包括MT6890、MT7915、MT7916、MT7981及MT7986等。此次披露的高危漏洞中,多个属于缓冲区溢出与堆溢出缺陷——这类漏洞会导致攻击者可越界写入数据,或破坏系统内存完整性,进而获得设备控制权。具体来看:CVE-2025-20712:该漏洞为Wi-Fi组件中的“堆溢出”问题,由“边界检查错误”引发,影响MT6990、MT7990、MT7991、MT7992及MT7993芯片组;CVE-2025-20709与CVE-2025-20710:前者为“典型缓冲区溢出”,后者为“整数溢出”,两者均因“边界检查错误”可能导致“越界写入”,对相关Wi-Fi芯片的内存安全构成威胁;CVE-2025-20718:被列为此次最严重漏洞之一,属于“栈溢出”缺陷,影响范围横跨新老两代Wi-Fi芯片——从老旧的MT7603、MT7622型号,到较新的MT7986系列芯片均受波及,公告明确指出其“可能因边界检查错误导致越界写入”。公告警示,若这些高危漏洞被利用,攻击者只需处于设备的无线信号覆盖范围内,即可实现多种恶意操作,包括使设备崩溃、执行任意代码,甚至破坏内核内存完整性,完全掌控受影响设备。二、中危漏洞波及GNSS与图像传感器模块除Wi-Fi组件外,公告还列出了涉及GNSS与图像传感器(imgsensor)模块的中危漏洞,这些模块主要应用于智能手机与汽车系统(如车载导航、驾驶辅助设备)。1. GNSS芯片组漏洞CVE-2025-20722:该漏洞为GNSS固件中的“整数溢出”问题,会导致“可能的越界读取”,影响MT6835、MT6878、MT6985、MT6989及相关型号芯片;CVE-2025-20723:因“边界检查错误”引发的“越界写入”漏洞,同样作用于GNSS固件的坐标数据处理与误差校正流程,受影响芯片型号与CVE-2025-20722一致。2. 图像传感器驱动漏洞CVE-2025-20721:该漏洞存在于图像传感器(imgsensor)驱动中,因“缺失边界检查”可能导致“越界写入”。攻击者可通过构造特殊输入触发内存损坏,影响MT6886、MT6899、MT8195及MT8793等芯片组。针对此次披露的所有漏洞,联发科在公告中明确给出安全建议:用户需确保设备接收并安装制造商推送的最新固件更新。资讯来源:securityonline.info转载请注明出处和本文链接﹀﹀
﹀
