2025年1月份，联发科发布产品安全公告，修复了影响多款芯片集的安全漏洞。该公告详细说明了从智能手机、平板、物联网设备和智能电视等产品中发现的漏洞。

其中最严重的漏洞是CVE-2024-20154，它是位于联发科现代固件中的一个栈溢出漏洞。该漏洞是一个严重的远程代码执行 (RCE) 漏洞，属于CWE-21，可通过将用户设备连接到受攻击者控制的恶意基站的方式利用。利用无需用户交互或权限提升。该漏洞影响40多款机型，包括MT2735、MT6767、MT6785、MT6873和MT6880。

该公告还重点强调了其它多个高危漏洞，包括位于电源管理（CVE-2024-20140）和数字化音频子系统（CVE-2024-20143、CVE-2024-20144和CVE-2024-20145）中的多个界外写漏洞。这些漏洞可导致本地提权，可能导致攻击者获得对敏感数据或系统功能的越权访问权限。

WLAN 驱动还修复了其它多个漏洞（CVE-2024-20146和CVE-2024-20148），可导致在M4U子系统的远程代码执行和界外写（CVE-2024-20105）后果，从而导致本地提权后果。

联发科已将这些漏洞告知设备制造商并提供了相应的安全补丁。强烈建议用户查看设备制造商发布的更新并尽快应用，缓解安全风险。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~