MediaTek, kapsamlı yonga seti portföyü boyunca 16 kritik güvenlik açıklarını ele alan ve akıllı telefonlardan IoT platformlarına kadar cihazları etkileyen kapsamlı bir güvenlik bültenini yayınladı.
Ortak güvenlik açığı skorlama sistemi sürüm 3.1 (CVSS v3.1) kullanılarak değerlendirilen güncelleme, Bluetooth, WLAN ve çeşitli sistem bileşenlerini etkileyen yedi yüksek şiddetli ve dokuz orta şiddetli güvenlik açığı içerir.
Cihaz OEM’leri, bu yayından en az iki ay önce bildirimler ve karşılık gelen güvenlik yamaları aldı ve etkilenen donanım platformlarında uygulama için yeterli hazırlık süresi sağladı.
Key Takeaways
1. 16 Vulnerabilities Fixed: MediaTek patched 7 high-severity and 9 medium-severity security flaws using CVSS v3.1 evaluation.
2. Affects smartphones, tablets, IoT devices, smart displays, and TV chipsets across MediaTek's product range.
3. High-severity issues enable privilege escalation, remote code execution, and system compromise without user interaction.
4. Medium-severity flaws cause information disclosure and potential system crashes through driver vulnerabilities.
Yüksek şiddetli güvenlik açıkları
Güvenlik bülteni, sistem bütünlüğüne önemli tehditler oluşturan yedi yüksek şiddetli güvenlik açıkını (CVE-2025-20680 ila CVE-2025-20686) tanımlar.
CVE-2025-20680, Bluetooth sürücülerinde MT7902, MT7920, MT7925 ve MT7927’de, CVE-122 (yığın taşma) altında sınıflandırılan bir yığın taşma güvenlik açığını temsil eder.
Bu güvenlik açığı, NB SDK Sürüm 3.6 ve önceki sürümlerde yanlış sınırların kontrolünden kaynaklanmaktadır.
Çoklu WLAN AP sürücüsü güvenlik açıkları (CVE-2025-20681 ila CVE-2025-20684), MT6890, MT7615, MT7622, MT79163, MT7915, MT7915, MT7981, MT7981 dahil olmak üzere yonga setlerini etkileyen CWE-787 olarak sınıflandırılan sınır dışı yazma koşullarını sergiler.
Bu güvenlik açıkları, kullanıcı yürütme ayrıcalıkları ile yerel ayrıcalık artışını sağlar ve kullanıcı etkileşimi gerektirmez.
En çok tehditler, WLAN AP sürücülerindeki yığın taşma koşulları aracılığıyla uzaktan taşma koşulları aracılığıyla uzaktan kod yürütülmesini (RCE) sağlayan CVE-2025-20685 ve CVE-2025-20686’dır.
Orta-Şiddetli Sorunlar
Dokuz orta yüzlük güvenlik açıkları (CVE-2025-20687-CVE-2025-20695 ile) öncelikle bilgi açıklaması (ID) ve Hizmet Reddetme (DOS) saldırı vektörlerine odaklanır.
CVE-2025-20687, sınır dışı okuma koşullarına (CWE-125) sahip Bluetooth sürücülerini etkiler ve etkilenen yonga setlerinde yerel hizmet reddi.
Birden fazla WLAN güvenlik açığı (CVE-2025-20688 ila CVE-2025-20693), MT6835, MT6878, MT6886, MT6897, MT6897, MT6897, MT6897, MT6897, MT6897, MT6897, MT6897, MT6897, MT6897, MT6897, MT6897, MT6991 ve çeşitli MT7000 Serisi işlemciler.
Bluetooth ürün yazılımında, MT2718, MT6639, MT815, MT813, MT813, MT813, MT813, MT813, MT813, MT813, MT813, MT813, MT813, MT813, MT815 dahil olmak üzere kapsamlı yonga seti aralıkları olarak sınıflandırılan tampon düşük akış güvenlik açıkları (CVE-2025-20694 ve CVE-2025-20695). MT8168, MT8169, MT8173, MT8183, MT8186, MT8188, MT8195, MT8370, MT8390, MT8391, MT8390, MT8512, MT8519, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8512, MT8678, MT8695, MT8696, MT8698, MT8786, MT8792, MT8796 ve MT8893.
| CVE | Başlık | Güvenlik Açığı Türü | Şiddet |
| CVE-2025-20680 | Bluetooth’ta Yığın Taşması | Ayrıcalık yüksekliği | Yüksek |
| CVE-2025-20681 | Boundsed WLAN’da yazıyor | Ayrıcalık yüksekliği | Yüksek |
| CVE-2025-20682 | Boundsed WLAN’da yazıyor | Ayrıcalık yüksekliği | Yüksek |
| CVE-2025-20683 | Boundsed WLAN’da yazıyor | Ayrıcalık yüksekliği | Yüksek |
| CVE-2025-20684 | Boundsed WLAN’da yazıyor | Ayrıcalık yüksekliği | Yüksek |
| CVE-2025-20685 | WLAN’da Yığın Taşması | RCE | Yüksek |
| CVE-2025-20686 | WLAN’da Yığın Taşması | RCE | Yüksek |
| CVE-2025-20687 | Bluetooth’ta okunan sınırsız | Hizmet reddi | Orta |
| CVE-2025-20688 | WLAN’da okunan sınırsız | Bilgi Açıklama | Orta |
| CVE-2025-20689 | WLAN’da okunan sınırsız | Bilgi Açıklama | Orta |
| CVE-2025-20690 | WLAN’da okunan sınırsız | Bilgi Açıklama | Orta |
| CVE-2025-20691 | WLAN’da okunan sınırsız | Bilgi Açıklama | Orta |
| CVE-2025-20692 | WLAN’da okunan sınırsız | Bilgi Açıklama | Orta |
| CVE-2025-20693 | WLAN’da okunan sınırsız | Bilgi Açıklama | Orta |
| CVE-2025-20694 | Bluetooth’ta tampon alt akışı | Hizmet reddi | Orta |
| CVE-2025-20695 | Bluetooth’ta tampon alt akışı | Hizmet reddi | Orta |
Azaltma stratejileri
Güvenlik güncellemesi, MediaTek’in çeşitli ürün ekosistemindeki güvenlik açıklarını, akıllı telefon yonga setleri, tablet işlemciler, AIOT cihazları, akıllı ekranlar, OTT platformları, bilgisayar görme çözümleri, ses işleme üniteleri ve televizyon yonga setlerini kapsar.
Etkilenen yazılım sürümleri arasında Android 13.0, 14.0, 15.0, 7.6.7.2’ye kadar çeşitli SDK sürümleri, OpenWRT 19.07, 21.02, 23.05 ve Yocto 4.0 dağılımlarına kadar.
Cihaz üreticileri, potansiyel sömürü risklerini azaltmak ve ürün portföylerinde sistem bütünlüğünü korumak için bu güvenlik yamalarının uygulanmasına öncelik vermelidir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi