Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

スマホ向け主要プロセッサのAppleロスレス処理に脆弱性 - 2021年12月に修正

ALACコーデックはAppleが開発し、2004年にリリース。2011年にオープンソースとしてデコーダが公開されたことから、広く利用が広まった。

Appleでは独自にデコーダをアップデートし、脆弱性への対応を行ってきたが、オープンソースのコードは2011年以降、メンテナンスが行われておらず、実装する各メーカーもそのまま利用している可能性が高いという。

脆弱性の判明を受けてQualcommでは「CVE-2021-30351」として2021年12月に修正を実施した。共通脆弱性評価システム「CVSSv3.1」における同脆弱性のベーススコアは「9.1」と評価されている。

MediaTekにおいても、権限昇格の脆弱性「CVE-2021-0675」や、情報漏洩の脆弱性「CVE-2021-0674」として対処した。米国立標準技術研究所(NIST)の脆弱性データベース「NVD」におけるCVSS基本値はそれぞれ「7.8」「5.5」と評価されている。

(Security NEXT - 2022/05/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

代理店に顧客の個人情報含むファイルを誤送信 - オリックス生命
運転士が予約情報を不正取得、顧客に私的メール - 九州急行バス
複数学生アカウントに不正アクセス、スパムの踏み台に - 日大
クラファンサイトでフィッシング - サービス内メッセージ機能を悪用
iOS版「Firefox」にアドレスバー偽装が可能となる脆弱性
VPNクライアント「Omnissa Workspace ONE Tunnel」のWindows版に脆弱性
「IBM API Connect」にアップデート - 依存関係含む多数脆弱性を解消
ブラウザ「Chrome」にアップデート - 脆弱性27件を修正
メルマガ送信サービスで情報流出、影響範囲など調査 - ディライトフル
個人情報の保存先を誤り、意図せず学生に共有 - 近畿大