MediaTek, en son ürün güvenlik bültenini yayınladı ve akıllı telefonlarda, tabletlerde, AIOT cihazlarında, akıllı ekranlarda, akıllı platformlarda, OTT cihazlarında kullanılan çok çeşitli yongamlarını etkileyen çeşitli güvenlik açıklarını ortaya koydu.
Cihaz OEM’leri bu konulardan haberdar edildi ve endüstri en iyi uygulamaları doğrultusunda, kamu açıklamasından en az iki ay önce ilgili güvenlik yamaları sağlandı.
Şiddet Değerlendirmesi ve Teknik Genel Bakış
Bu güvenlik açıklarının değerlendirilmesi, yazılım güvenlik açıklarının şiddetini değerlendirmek için yaygın olarak benimsenen ortak güvenlik açığı skorlama sistemi sürüm 3.1 (CVSS v3.1) kullanılarak gerçekleştirilmiştir.
.png
)
Bülten, bir yüksek şiddetli güvenlik açığını (CVE-2025-20672) ve altı orta yüzlük güvenlik açığını (CVE-2025-20673 ila CVE-2025-20678) tanımlar.
Güvenlik açıkları, aşağıdakiler dahil olmak üzere birden fazla teknik kategoriyi kapsamaktadır:
- Ayrıcalık yüksekliği (EOP): Saldırganların yetkisiz erişim veya ayrıcalıklar kazanmasına izin verir.
- Hizmet Reddi (DOS): Saldırganların normal işleyişini bozarak sistem çökmelerine yol açar.
- CWE-122 Yığın Taşması: Yanlış sınırların kontrol edilmesinin, tahsis edilen belleğin dışında yazılmaya izin verdiği ve potansiyel olarak ayrıcalık artışına yol açan kritik bir konu.
- CWE-476 NULL POINTER DEREFERISE: Bir program boş bir işaretçi kullanmaya çalıştığında, çökmelere veya hizmet reddine yol açtığında ortaya çıkar.
- CWE-863 Yanlış Yetkilendirme: İzin kontrollerini eksik, potansiyel olarak yetkisiz eylemlere izin verir.
- CWE-674 Kontrolsüz Özyineleme: Aşırı özyinelemeli çağrılar, yığın taşmalarına ve hizmet aksamalarına neden olabilir.
Ayrıntılı güvenlik açığı arızası
Aşağıdaki tabloda bildirilen güvenlik açıklarını, teknik doğalarını ve etkilenen yonga setlerini özetlemektedir:
| CVE | Başlık | Şiddet | Güvenlik Açığı Türü | CWE Kodu | Etkilenen yonga setleri | Etkilenen yazılım sürümleri |
|---|---|---|---|---|---|---|
| CVE-2025-20672 | Bluetooth’ta Yığın Taşması | Yüksek | EOP | CWE-122 | MT7902, MT7921, MT7922, MT7925, MT7927 | NB SDK Sürüm 3.6 ve Önce |
| CVE-2025-20673 | WLAN’da NULL POINTER DERERENERICE | Orta | Ki | CWE-476 | MT7902, MT7921, MT7922, MT7925, MT7927 | NB SDK Sürüm 3.6 ve Önce |
| CVE-2025-20674 | WLAN’da Yanlış Yetkilendirme | Orta | EOP | CWE-863 | MT6890, MT6990, MT7915, MT7916, MT7981, MT7986, MT7990, MT7992, MT7993 | SDK Sürümü 7.6.7.2 ve Önceki / OpenWRT 19.07, 21.02 (MT6890) / OpenWRT 21.02, 23.05 (MT6990) |
| CVE-2025-20675 | WLAN’da NULL POINTER DERERENERICE | Orta | Ki | CWE-476 | MT7902, MT7921, MT7922, MT7925, MT7927 | NB SDK Sürüm 3.6 ve Önce |
| CVE-2025-20676 | WLAN’da NULL POINTER DERERENERICE | Orta | Ki | CWE-476 | MT7902, MT7921, MT7922, MT7925, MT7927 | NB SDK Sürüm 3.6 ve Önce |
| CVE-2025-20677 | Bluetooth’taki Null Pointer Deriference | Orta | Ki | CWE-476 | MT7902, MT7921, MT7922, MT7925, MT7927 | NB SDK Sürüm 3.6 ve Önce |
| CVE-2025-20678 | IMS hizmetinde kontrolsüz özyineleme | Orta | Ki | CWE-674 | Kapsamlı liste (örn., MT6739, MT6761, MT6890, MT6990, vb.) | Modem LR12A, LR13, NR15, NR16, NR17, NR17R |
Yanıt ve endüstri etkisi
MediaTek, cihaz üreticileri ile proaktif olarak etkileşime girerek, kamu açıklamalarından önce yamaların mevcut olmasını sağladı.
Şirket, etkilenen yonga setleri listesinin kapsamlı olmayabileceğini ve OEM’lerin daha fazla açıklama için MediaTek temsilcileriyle temasa geçmeye teşvik ettiğini vurgulamaktadır.
Kullanıcılar ve işletmeler için güvenlik güncellemelerinin zamanında uygulanması önemlidir. MediaTek ayrıca araştırmacıları ve paydaşları resmi kanalları aracılığıyla ek güvenlik açıklarını bildirmeye davet ediyor.
Anahtar Teknik Terimler:
- CVE (yaygın güvenlik açıkları ve maruziyetler): Halka açık siber güvenlik açıkları için benzersiz tanımlayıcılar.
- CWE (ortak zayıflık numaralandırması): Yazılım zayıflıkları için standart kategoriler.
- EOP, DOS, RCE: Sırasıyla ayrıcalık, hizmet reddi ve uzaktan kod yürütme kısaltmaları.
MediaTek’in bülteni, gömülü ve bağlı cihaz güvenliğinin hızla gelişen manzarasında devam eden uyanıklık ihtiyacının altını çiziyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!