近日,Check Point Research (CPR) 发现了一组安全漏洞,它们可用于在全球三分之二的移动设备上实施恶意远程代码执行。这些漏洞影响了搭载联发科和高通(两家最大的移动芯片组制造商)芯片的 Android 智能手机。
漏洞源自联发科和高通音频解码器
经Check Point安全专家研究发现,上述漏洞均发生于于 Apple 无损音频编解码器 (ALAC),也称为 Apple 无损。ALAC 是一种由 Apple Inc.开发的音频编码格式,于 2004 年首次推出,用于数字音乐的无损数据压缩。2011 年底,Apple 将编解码器开源。自此,ALAC 格式被嵌入到许多非 Apple 音频播放设备和程序中,包括 Android 智能手机、Linux 和 Windows 媒体播放器及转换器。此后,Apple 多次更新了解码器的专有版本,修复并修补安全漏洞,但自 2011 年以来,共享代码一直未修补。CPR 发现,高通和联发科将易受攻击的 ALAC 代码移植到其音频解码器中。
信息披露
Check Point Research 已负责任地向联发科和高通披露了相关信息,并与这两家厂商密切合作,确保这些漏洞得以尽快修复。联发科将漏洞命名为 CVE-2021-0674 和 CVE-2021-0675。目前这些漏洞已修复,并发布在 联发科安全公告中。高通也在其安全公告中发布了 CVE-2021-30351 的补丁。CPR 为用户提供了补丁应用时间。
安全建议
Check Point Research 反向工程和安全研究事业部 Slava Makkaveev表示:“我们于21年底发现了一组漏洞,它们可用于在全球三分之二的移动设备上实施远程执行并进行权限升级。这些漏洞很容易被利用。黑客可能发送一首歌曲(或媒体文件)实施攻击,当潜在受害者播放时,它便会将代码注入特权媒体服务中。攻击者可以看到手机用户在其手机上查看的信息。在我们的验证中,通过这种方法能够窃取手机的摄像头视频流。近年来随着手机功能不断强大,我们认为用户手机中最敏感的信息就是包括音频和视频在内的媒体文件。攻击者可通过这些漏洞进行窃取,从而对用户造成无法挽回的损失。因此,Check Point建议手机用户不要轻易打开陌生人发送的媒体文件,并通过Android每月发布的更新及时为手机打补丁,从而在源头上防范黑客攻击”
CPR 目前尚未透露其研究结果的技术细节。这些细节将在 2022 年 5 月召开的 CanSecWest 会议上公布。
好文章,需要你的鼓励
人工智能在艺术创作中的应用引发争议。许多艺术家反对 AI 图像生成器,但也有人尝试创新性地利用 AI 进行艺术创作。本文探讨了艺术家如何通过"故意误用" AI 来进行创意工作,以及这种做法所面临的挑战和机遇。文章还讨论了 AI 艺术的版权问题,以及 AI 对艺术创作和欣赏的潜在影响。
IBM 发布新一代大型机 Z17,搭载 Telum II 处理器,专为生成式和代理式 AI 优化。Z17 支持实时交易分析,AI 推理能力较前代提升 50%。新增 Spyre 加速器支持多模型 AI 和大语言模型。IBM 还推出 Watson 代码助手和运维工具,提高 IT 运维效率。Z17 还支持量子安全加密技术,帮助客户应对未来量子计算威胁。
Meta 警告 WhatsApp Windows 版存在重大安全漏洞,可能导致用户遭受各种网络攻击,包括勒索软件。该漏洞允许攻击者通过修改 MIME 类型,使恶意文件伪装成普通附件。用户不慎打开后可能执行任意代码。专家建议用户及时更新软件,谨慎对待未知附件。
Deep Cogito公司推出了一系列开放可用的AI模型,这些模型可以在"推理"和非推理模式之间切换。这种混合架构结合了推理和标准非推理元素,能够快速回答简单问题,同时对复杂查询进行更深入的思考。公司声称其模型性能优于同等规模的开放模型,并计划在未来推出更大规模的版本。