联发科芯片组曝高危漏洞:越界写入缺陷危及智能手机与物联网设备安全

漏洞概况

全球领先的芯片组制造商联发科(MediaTek)近日发布最新产品安全公告,披露了影响其智能手机、物联网设备及其他嵌入式系统芯片的多项安全漏洞。

高危漏洞分析

CVE-2025-20696

作为公告披露的首个且最严重的漏洞,该高危缺陷源于下载代理(Download Agent, DA)中的越界写入(out-of-bounds write)问题。由于缺少边界检查,攻击者可通过物理接触设备实现本地权限提升。虽然需要用户交互触发,但无需额外执行权限。受影响芯片组包括MT6761、MT6877、MT6983和MT8196等主流型号,涉及Android 13.0/14.0/15.0以及openWRT、Yocto、RDK-B和Zephyr系统版本。

CVE-2025-20697

该漏洞由外部研究人员报告,存在于电源硬件抽象层(Power Hardware Abstraction Layer, Power HAL)中。与前者不同,此漏洞无需用户交互,但要求攻击者已具备系统级权限,成功利用可导致进一步权限提升或任意代码执行。主要影响MT6765、MT6889、MT6989和MT8893芯片组家族,限于Android 14.0/15.0设备。尽管被评定为中危漏洞,其静默利用特性值得企业和移动设备厂商高度关注。

CVE-2025-20697同源漏洞
CVE-2025-20698

技术上与CVE-2025-20697同属Power HAL越界写入缺陷,但影响范围更广,涵盖从MT6739等传统型号到MT6895、MT6991等高性能SoC。同样无需用户交互,波及Android 13.0/14.0/15.0全系设备。

修复进展

联发科确认已在公开披露前至少两个月通知原始设备制造商(OEM),目前安全补丁已全面就绪。公司敦促所有制造商和开发者立即部署更新。

相关推荐
Hello.Reader2 小时前
Kafka 安全SASL 认证全栈实战从 JAAS 到 Kerberos、PLAIN、SCRAM、OAUTH 与委托令牌
分布式·安全·kafka
xixixi777772 小时前
SOC(安全运营中心)
网络·安全·soc·安全运营中心
大河qu9 小时前
HCIP-IoT 真题详解(章节D),嵌入式基础与南向开发 /Part1
物联网·传感器·liteos·华为云物联网认证·hcip-iot·nb-iot芯片
沐欣工作室_lvyiyi9 小时前
基于物联网的个人健康管理系统(论文+源码)
单片机·物联网·毕业设计·健康管理
大翻哥哥9 小时前
Python 2025:嵌入式系统与物联网(IoT)开发新趋势
物联网
大有数据可视化9 小时前
告别传统监控:基于Unity+IoT打造沉浸式数字孪生车间
物联网·unity·游戏引擎
lypzcgf13 小时前
Coze源码分析-资源库-编辑插件-后端源码-安全与错误处理
安全·插件·coze·coze源码分析·智能体平台·ai应用平台·agent平台
粟悟饭&龟波功14 小时前
【网络安全】一、入门篇:读懂 HTTP 协议
安全·web安全·http
骥龙14 小时前
粤港澳全运会网络安全防御体系深度解析:威胁态势与实战防护
网络·安全·web安全
无垠的广袤16 小时前
【LattePanda Mu 开发套件】AI 图像识别网页服务器
服务器·人工智能·python·单片机·嵌入式硬件·物联网