Actualités

ALAC : quand le codec a provoqué trois vulnérabilités sous terminaux-solutions Apple, MediaTek et Qualcomm !

Désormais comblées par les éditeurs respectifs dans des bulletins sécuritaires émis en Décembre 2021, ces trois failles reposaient sous une vulnérabilité issue du code audio ALAC (Apple Lossless Audio Codec) : comme le rapport succinctement l’équipe CheckPoint en date du 21 Avril 2022, l’avènement du codec audio sans perte (en 2004) a été partagé en open-source fin 2011 ; c’est ici que les problème ont malheureusement commencé…

 

 

Le format ALAC a été intégré dans de nombreux périphériques et programmes de lecture audio non-Apple, y compris des smartphones basés sur Android, des lecteurs et des convertisseurs de supports Windows et Windows. Depuis lors, Apple a mis à jour la version exclusive du décodeur plusieurs fois, fixant et corrigé des problèmes de sécurité, mais le code partagé n’a pas été corrigé depuis 2011. De nombreux vendeurs tiers utilisent le code fourni par Apple comme base de leur propre ALAC. Les implémentations, et il est juste de supposer que beaucoup d’entre eux ne maintiennent pas le code externe“, est-il expliqué, en guise de rétrospective.

Ainsi, d’autres éditeurs (dont Qualcomm et MediaTek) ont porté le codec audio Apple sur leurs solutions (SoCs, notamment) et, de ce fait, ont introduit des vulnérabilités potentiellement exploitables… depuis 2011. Des cyber-attaquants ont pu potentiellement effectuer un contrôle distant (RCE) sur les terminaux intégrant ce codec (non corrigé de manière régulière, donc) avec toutes les applications ou ex-filtrations possibles que l’on peut envisager, en passant par des élévations de privilèges, ajoute les chercheurs, pour récupérer la donnée relative, par exemple, aux médias (photo, vidéo) ou aux conversations.

Assignées CVE-2021-0674 + CVE-2021-0675 (MediaTek) et CVE-2021-30351 (Qualcomm), les correctifs assimilés ont déjà été distribués en Décembre 2021. Bien évidemment, les détails du PoC seront partagés par CheckPoint (Slava Makkaveev + Netanel Ben Simon) au détour du CanSecWest dont l’édition (hybride : mi-présentiel, mi-virtuelle) 2022 aura lieu du 18 au 20 Mai 2022, concernant les conférences ; 14 au 24 Mai 2022, concernant les DOJOs… A veiller !

 

 

 

Source : blog CheckPoint – 21 Avril 2022 – ALAC : brèche sécuritaire du codec audio sans perte Apple impactant les SoCs MediaTek et Qualcomm (Décembre 2021 – patchs).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6