Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-02693: Уязвимость декодера alac микропрограммного обеспечения микросхем MediaTek MT6570, MT6580, MT6735, MT6737, MT6739, MT6750, MT6750S, MT6753, MT6755, MT6755S, MT6757, MT6757C, MT6757CD, MT6757CH, MT6758, MT6761, MT6763, MT6765, MT6768, MT6771, MT6779, MT6781, MT6785, MT6797, MT6799, MT6833, MT6853, MT6853T, MT6873, MT6877, MT6883, MT6885, MT6889, MT6893, MT8163, MT8167, MT8167S, MT8168, MT8173, MT8175, MT8176, MT8183, MT8185, MT8195, MT8321, MT8362A, MT8365, MT8385, MT8765, MT8766, МТ8768, МТ8786, МТ8788, МТ8789, МТ8791, МТ8797, позволяющая нарушителю раскрыть защищаемую информацию

Описание уязвимости	Уязвимость декодера alac микропрограммного обеспечения микросхем MediaTek MT6570, MT6580, MT6735, MT6737, MT6739, MT6750, MT6750S, MT6753, MT6755, MT6755S, MT6757, MT6757C, MT6757CD, MT6757CH, MT6758, MT6761, MT6763, MT6765, MT6768, MT6771, MT6779, MT6781, MT6785, MT6797, MT6799, MT6833, MT6853, MT6853T, MT6873, MT6877, MT6883, MT6885, MT6889, MT6893, MT8163, MT8167, MT8167S, MT8168, MT8173, MT8175, MT8176, MT8183, MT8185, MT8195, MT8321, MT8362A, MT8365, MT8385, MT8765, MT8766, МТ8768, МТ8786, МТ8788, МТ8789, МТ8791, МТ8797 связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию
Вендор	MediaTek Inc., ООО «Открытая мобильная платформа»
Наименование ПО	MT6570, MT6580, MT6735, MT6737, MT6739, MT6750, MT6750S, MT6753, MT6755, MT6755S, MT6757, MT6757C, MT6757CD, MT6757CH, MT6758, MT6761, MT6763, MT6765, MT6768, MT6771, MT6779, MT6781, MT6785, MT6797, MT6799, MT6833, MT6853, MT6853T, MT6873, MT6877, MT6883, MT6885, MT6889, MT6893, MT8163, MT8167, MT8167S, MT8168, MT8173, MT8175, MT8176, MT8183, MT8185, MT8195, MT8321, MT8362A, MT8365, MT8385, MT8765, MT8766, MT8768, MT8786, MT8788, MT8789, MT8791, MT8797, ОС Аврора (запись в едином реестре российских программ №1543)
Версия ПО	- (MT6570) - (MT6580) - (MT6735) - (MT6737) - (MT6739) - (MT6750) - (MT6750S) - (MT6753) - (MT6755) - (MT6755S) - (MT6757) - (MT6757C) - (MT6757CD) - (MT6757CH) - (MT6758) - (MT6761) - (MT6763) - (MT6765) - (MT6768) - (MT6771) - (MT6779) - (MT6781) - (MT6785) - (MT6797) - (MT6799) - (MT6833) - (MT6853) - (MT6853T) - (MT6873) - (MT6877) - (MT6883) - (MT6885) - (MT6889) - (MT6893) - (MT8163) - (MT8167) - (MT8167S) - (MT8168) - (MT8173) - (MT8175) - (MT8176) - (MT8183) - (MT8185) - (MT8195) - (MT8321) - (MT8362A) - (MT8365) - (MT8385) - (MT8765) - (MT8766) - (MT8768) - (MT8786) - (MT8788) - (MT8789) - (MT8791) - (MT8797) до 4.0.2.172 (ОС Аврора)
Тип ПО	Микропрограммный код, Операционная система
Операционные системы и аппаратные платформы	ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172 F+ Life Tab Plus (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172 Mashtab TrustPhone T1 (запись в едином реестре российских программ №1543)
Тип ошибки	Недостаточная проверка вводимых данных, Чтение за границами буфера
Идентификатор типа ошибки	CWE-20 CWE-125
Класс уязвимости	Уязвимость кода
Дата выявления	01.12.2021
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:N/A:N CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: https://corp.mediatek.com/product-security-bulletin/December-2021#CVE_2021_0674 Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb15323 Для ОС Аврора 4.0.2: https://cve.omprussia.ru/bb16402
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://corp.mediatek.com/product-security-bulletin/December-2021#CVE_2021_0674 https://www.anti-malware.ru/news/2022-04-21-111332/38566 https://vuldb.com/?id.188699 https://cve.omprussia.ru/bb15323 https://cve.omprussia.ru/bb16402
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-0674
Прочая информация	Данные уточняются

Последние изменения