联发科芯片组曝高危漏洞:越界写入缺陷危及智能手机与物联网设备安全

漏洞概况

全球领先的芯片组制造商联发科(MediaTek)近日发布最新产品安全公告,披露了影响其智能手机、物联网设备及其他嵌入式系统芯片的多项安全漏洞。

高危漏洞分析

CVE-2025-20696

作为公告披露的首个且最严重的漏洞,该高危缺陷源于下载代理(Download Agent, DA)中的越界写入(out-of-bounds write)问题。由于缺少边界检查,攻击者可通过物理接触设备实现本地权限提升。虽然需要用户交互触发,但无需额外执行权限。受影响芯片组包括MT6761、MT6877、MT6983和MT8196等主流型号,涉及Android 13.0/14.0/15.0以及openWRT、Yocto、RDK-B和Zephyr系统版本。

CVE-2025-20697

该漏洞由外部研究人员报告,存在于电源硬件抽象层(Power Hardware Abstraction Layer, Power HAL)中。与前者不同,此漏洞无需用户交互,但要求攻击者已具备系统级权限,成功利用可导致进一步权限提升或任意代码执行。主要影响MT6765、MT6889、MT6989和MT8893芯片组家族,限于Android 14.0/15.0设备。尽管被评定为中危漏洞,其静默利用特性值得企业和移动设备厂商高度关注。

CVE-2025-20697同源漏洞
CVE-2025-20698

技术上与CVE-2025-20697同属Power HAL越界写入缺陷,但影响范围更广,涵盖从MT6739等传统型号到MT6895、MT6991等高性能SoC。同样无需用户交互,波及Android 13.0/14.0/15.0全系设备。

修复进展

联发科确认已在公开披露前至少两个月通知原始设备制造商(OEM),目前安全补丁已全面就绪。公司敦促所有制造商和开发者立即部署更新。

相关推荐
明达智控技术2 小时前
MR30系列分布式I/O在造型机产线的应用
分布式·物联网·自动化
sendnews3 小时前
红松小课首次亮相北京老博会,四大业务矩阵赋能退休生活提质升级
人工智能·物联网
非凡ghost5 小时前
Adobe Lightroom安卓版(手机调色软件)绿色版
前端·windows·adobe·智能手机·软件需求
机建狂魔5 小时前
【一加手机Bootloader解锁政策更新通知】
智能手机·一加15·一加ace5·一加平板2
NewCarRen5 小时前
整合STPA、ISO 26262与SOTIF的自动驾驶安全需求推导与验证
人工智能·安全·自动驾驶·预期功能安全
小叮当⇔5 小时前
IOT项目——电源入门系列-第四章
物联网
芯盾时代5 小时前
低空经济网络安全体系
安全·web安全
鹿鸣天涯5 小时前
关于进一步做好网络安全等级保护有关工作的问题释疑-【二级以上系统重新备案】、【备案证明有效期三年】
网络·安全·web安全
00后程序员张6 小时前
如何提高 IPA 安全性 多工具组合打造可复用的 iOS 加固与反编译防护体系(IPA 安全 iOS 加固 无源码混淆 Ipa Guard 实战)
android·安全·ios·小程序·uni-app·iphone·webview
小妖同学学AI6 小时前
Rust 深度解析:变量、可变性与所有权的“安全边界”
开发语言·安全·rust