Уязвимости в программном обеспечении и гаджетах находят с завидной регулярностью, что подчеркивая необходимость повышения стандартов кибербезопасности. Эксперты и исследователи непрерывно работают над выявлением слабых мест, которые могут быть использованы злоумышленниками. Эти находки не только предупреждают возможные кибератаки, но и стимулируют разработчиков к созданию более надежных и защищенных решений, адаптированных к современным угрозам.
Так в кодеке Monkey’s Audio APE, используемом на актуальных смартфонах Samsung, обнаружена критическая уязвимость (CVE-2024-49415) с уровнем опасности CVSS 8.1, позволяющая злоумышленникам выполнять произвольный код удалённо без взаимодействия пользователя. Уязвимость затрагивает устройства Android версий 12, 13 и 14 и связана с ошибкой в библиотеке «libsaped.so». Согласно декабрьскому бюллетеню безопасности Samsung, проблема была устранена путём добавления проверки входных данных.
Исследователь Google Project Zero Натали Сильванович, обнаружившая уязвимость, подчеркнула её опасность, поскольку атака могла осуществляться без какого-либо участия пользователя. Активация уязвимости происходила при использовании функции автоматической расшифровки входящих голосовых сообщений в Google Messages с включёнными услугами RCS. По умолчанию такая конфигурация установлена на моделях Galaxy S23 и S24.
Проблема заключалась в функции «saped_rec», которая записывала данные в буфер, размер которого мог быть превышен при обработке специально сформированного аудиофайла с большим значением «blocksperframe». Это приводило к переполнению буфера и сбою процесса медиа-кодека. Гипотетический сценарий атаки предполагает отправку вредоносного аудиофайла через Google Messages, что вызывает сбой одного из процессов при условии активной функции RCS.
А уязвимость ChatGPT помогает ИИ «запомнить» ложь.
