MediaTek, onlarca yonga setini etkileyen üç kritik güvenlik açığını açıkladı ve potansiyel olarak saldırganların etkilenen cihazlarda yüksek sistem ayrıcalıkları kazanmasına izin verdi.
Şirketin Ağustos 2025 ürün güvenlik bülteninde ayrıntılı olarak açıklanan güvenlik açıkları, akıllı telefonlarda, tabletlerde ve Android, OpenWRT, YOCTO, RDK-B ve Zephyr işletim sistemlerini çalıştıran diğer bağlı cihazlarda kullanılan çok çeşitli MediaTek işlemcilerini etkiliyor.
“Yüksek” şiddet derecesine sahip CVE-2025-20696 olarak adlandırılan en şiddetli güvenlik açığı, indirme aracısı (DA) bileşenini etkiler ve bitiş dışı bir yazma saldırısı yoluyla yerel ayrıcalık artışını mümkün kılabilir.
| CVE | Şiddet | Bileşen | Yazılım sürümleri |
| CVE-2025-20696 | Yüksek | İndir Ajan (DA) | Android 13.0, 14.0, 15.0; Openwrt 21.02, 23.05; Yocto 4.0; RDK-B 24Q1; Zephyr 3.7.0 |
| CVE-2025-20697 | Orta | Güç Hal | Android 14.0, 15.0 |
| CVE-2025-20698 | Orta | Güç Hal | Android 13.0, 14.0, 15.0 |
Bu kusur, cihaza fiziksel erişim ve kullanıcı etkileşimi gerektirir, ancak bir saldırgan erişim kazandıktan sonra ek yürütme ayrıcalığına ihtiyaç yoktur.
Her ikisi de “orta” ciddiyet olarak derecelendirilen CVE-2025-20697 ve CVE-2025-20698 olmak üzere iki ek güvenlik açığı, güç donanımı soyutlama katmanı (HAL) bileşenini etkiler.
Bu kusurlar, kötü niyetli bir aktör zaten sistem düzeyinde ayrıcalıklar elde etmişse ayrıcalık artışına izin verebilir ve özellikle sömürü için kullanıcı etkileşimi gerektirmezler.
Güvenlik açıkları, ortak zayıflık sayımı (CWE-787) altında sınıflandırılan sınır dışı yazma işlemlerini sağlayan eksik sınır kontrollerinden kaynaklanmaktadır.
MediaTek, Ortak Güvenlik Açığı Skorlama Sistemi Sürüm 3.1 (CVSS v3.1) çerçevesini kullanarak şiddet değerlendirmeleri gerçekleştirdi.
MediaTek, cihaz orijinal ekipman üreticilerinin (OEM) bu sorunlardan haberdar olduğunu ve Bülten’in 4 Ağustos 2025’teki yayınlanmasından en az iki ay önce ilgili güvenlik yamaları sağladığını vurguladı.
Şirket, şu anda bu güvenlik açıklarının vahşi doğada herhangi bir aktif sömürüsünden habersiz olduğunu belirtti, ancak açıklama, mobil cihaz ekosistemlerinin karşılaştığı devam eden güvenlik zorluklarını vurgulamaktadır.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!