MediaTek Güvenlik Güncellemesi – yonga setleri boyunca birden fazla güvenlik açığı için yama


MediaTek Güvenlik Güncellemesi

MediaTek bugün, en son modem yonga setlerinde çeşitli güvenlik açıklarını ele alan kritik bir güvenlik bültenini yayınladı ve cihaz OEM’lerini hemen güncellemeleri dağıtmaya çağırdı.

Gizli OEM bildiriminden iki ay sonra yayınlanan bülten, bugüne kadar bilinen hiçbir bilinen istismarın tespit edilmediğini doğrulamaktadır.

Key Takeaways
1. MediaTek patched high- and medium-severity modem and firmware bugs across 60+ chipsets.
2. OEMs received fixes in July; update Modem NR and BSP now.
3. No exploitation detected.

Yüksek şiddetli olmayan kusurlar

Üç yüksek şiddetli ortak güvenlik açığı skorlama sistemi sürüm 3.1 (CVSS v3.1)-yağlanmış kusurlar düzinelerce MediaTek yonga setindeki modem ürün yazılımını etkiler.

Google Haberleri

CVE-2025-20708: Modemin tampon-validasyon mantığında, bir kullanıcı ekipmanı (UE) bir haydut baz istasyonuna bağlandığında uzaktan ayrıcalık artışına izin verir.

Güvenlik açığını tetiklemek için hiçbir kullanıcı etkileşimi gerekmez. Etkilenen yonga setleri arasında MT6813, MT6833, MT6855, MT8873, MT8893 ve modem NR15 -NR17R yazılım versiyonlarını çalıştıran 60’tan fazla model daha var.

CVE-2025-20703: Aynı modem bileşenindeki sınır dışı okunan (CWE-125), benzer koşullar altında ve kullanıcı etkileşimi olmadan uzaktan hizmet reddine izin verir.

Etkilenen Silikon Kapsamları MT2735, MT6789, MT6893, MT8678, MT8791T, MT8883, diğerlerinin yanı sıra, NR15 – NR17R sürümlerinde.

CVE-2025-20704: Eksik sınır kontrolünden kaynaklanan ikinci bir sınır dışı yazma (CWE-787), kullanıcı etkileşimi sömürü için gerekli olsa da, uzaktan ayrıcalık artışını sağlayabilir.

Kusur, bir yonga setinin bir alt kümesini hedefler – MT6835T, MT6899, MT6991, MT8676, MT8792 ve bir düzine daha fazla – koşan modem NR17 ve NR17R yapıları.

Orta yüzeysel bellek yolsuzluk kusurları

Yonga seti ürün yazılımının Monitor_hang, Mbrain ve Geniezone modüllerinde üç orta-şiddetsiz kullanım (CWE-416) bulunur:

CVE-2025-20705 (“Monitor_hang UAF”): Boş kullanımda olmayan bir hata, zaten sistem ayrıcalıklarına sahip saldırganlar için yerel ayrıcalık artışını sağlayabilir.

Android 13-16, OpenWRT 19.07/21.02 ve Yocto 2.6 sürümlerinde MT2718’den MT8796’ya kadar geniş bir yonga seti aralığı etkilenir.

CVE-2025-20706 (“UAF Beyin”): MT6899, MT6989, MT6991, MT8676 ve MT8678 çalışan Android 14-15’teki MBrain Görev Zamanlayıcısında benzer bellek bozulması yerel kod yürütülmesine yol açabilir.

CVE-2025-20707 (“Geniezone UAF”): Geniezone hizmetindeki bir kusur, MT2718, MT6853, MT8792, MT8883 ve Android 13-15’teki diğer modellerde yerel ayrıcalık koşulları altında bellek bozulmasına neden olabilir.

CVE Başlık Şiddet
CVE-2025-20708 Bounds dışı modem yazar Yüksek
CVE-2025-20703 Modemde okunan sınırlar Yüksek
CVE-2025-20704 Bounds dışı modem yazar Yüksek
CVE-2025-20705 Monitor_hang’da ücretsiz kullanın Orta
CVE-2025-20706 Mbrain’de ücretsiz kullanın Orta
CVE-2025-20707 Geniezone’da ücretsiz kullanın Orta

Dahili doğrulama ekipleri tarafından tanımlanan CVE-2025-20704 hariç tüm güvenlik açıkları dış güvenlik araştırmaları ile keşfedildi.

OEM ortakları Temmuz ayından bu yana yamalar aldı ve bu düzeltmeleri içeren son ürün yazılımı görüntüleri derhal piyasaya sürülecek.

MediaTek, entegratörleri riskleri azaltmak için Modem NR ve Android BSP sürümlerini yükseltmeyi hatırlatır.

Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.



Source link