联发科芯片组曝高危漏洞:越界写入缺陷危及智能手机与物联网设备安全

漏洞概况

全球领先的芯片组制造商联发科(MediaTek)近日发布最新产品安全公告,披露了影响其智能手机、物联网设备及其他嵌入式系统芯片的多项安全漏洞。

高危漏洞分析

CVE-2025-20696

作为公告披露的首个且最严重的漏洞,该高危缺陷源于下载代理(Download Agent, DA)中的越界写入(out-of-bounds write)问题。由于缺少边界检查,攻击者可通过物理接触设备实现本地权限提升。虽然需要用户交互触发,但无需额外执行权限。受影响芯片组包括MT6761、MT6877、MT6983和MT8196等主流型号,涉及Android 13.0/14.0/15.0以及openWRT、Yocto、RDK-B和Zephyr系统版本。

CVE-2025-20697

该漏洞由外部研究人员报告,存在于电源硬件抽象层(Power Hardware Abstraction Layer, Power HAL)中。与前者不同,此漏洞无需用户交互,但要求攻击者已具备系统级权限,成功利用可导致进一步权限提升或任意代码执行。主要影响MT6765、MT6889、MT6989和MT8893芯片组家族,限于Android 14.0/15.0设备。尽管被评定为中危漏洞,其静默利用特性值得企业和移动设备厂商高度关注。

CVE-2025-20697同源漏洞
CVE-2025-20698

技术上与CVE-2025-20697同属Power HAL越界写入缺陷,但影响范围更广,涵盖从MT6739等传统型号到MT6895、MT6991等高性能SoC。同样无需用户交互,波及Android 13.0/14.0/15.0全系设备。

修复进展

联发科确认已在公开披露前至少两个月通知原始设备制造商(OEM),目前安全补丁已全面就绪。公司敦促所有制造商和开发者立即部署更新。

相关推荐
2603_9547083119 分钟前
全维度容错设计,打造微电网安全运行屏障
服务器·网络·数据库·人工智能·分布式·安全
冰茶丿1 小时前
嵌入式安全第一关:Secure Boot是怎么保护你的设备的?
嵌入式硬件·安全
liguojun20252 小时前
篮球馆自动计时收费系统:从规则配置到自动结算的全流程拆解
java·大数据·运维·人工智能·物联网·1024程序员节
Promise微笑2 小时前
红外分辨率 160×120、320×240、384×288 与 640×480实战选型指南
大数据·运维·人工智能·物联网
长风2303 小时前
Day14: 极限异常演练 —— 验证系统韧性与错误告警生成
人工智能·安全
LT10157974444 小时前
2026年车载系统兼容性选型指南:手机互联断连、车机应用闪退解决方案
智能手机·车载系统
技术不好的崎鸣同学5 小时前
Windows 命令提示符(CMD)恶意脚本分析篇
网络·windows·安全·系统安全
Sagittarius_A*5 小时前
Docker:渗透前置容器化核心基础
运维·安全·docker·容器
Promise微笑5 小时前
激光清障仪市场与技术深度分析:基于原理、应用及厂家格局的综述
大数据·人工智能·物联网
孟郎郎6 小时前
AI 辅助开发编程敏感信息保护安全规范
人工智能·安全·ai·风险·隐患