具有Qualcomm调制解调器的设备免受关键ASN.1缺陷的安全
在运行数字转型项目时,关系数据库相对较差
攻击者可以通过在线电话验证系统窃取数百万美元
雅虎以4.8亿美元的价格向Verizon销售网友
Facebook SDK为Apple的Swift Devs访问了平台服务
HBO黑客获得个人
议会的数字首席退出成为Arup Cio
anki的cozmo让每个人都成为A.I.专家
Apple预览麦斯科斯山脉向公众
Nominet在数字工作经验计划中投资400,000英镑
Omni酒店受到销售点恶意软件的击中
Telefónica增加了可再生能源来对抗气候变化
Android全磁盘加密可以在基于Qualcomm的设备上强制强制
索赔DORA首席执行官
欧盟层面对谷歌收取更多费用
斯坦福德大桥提供体育场连接与爱立信合作
免费Windows 10升级的结尾可能会支持PC出货量
美国参议员对神奇宝贝GO的数据收集有隐私问题
慈善互换SAN用于超纤维过多融合,以节省100万英镑
英国航空公司在线登记系统受到另一个IT失败的影响
Infosec17:为敏捷的人招募敏捷的人
北欧的云服务成熟度
俄罗斯:嘿,不要责怪我们,我们的20个政府组织也被黑了
金融恶意软件普遍存在的赎金软件
亚特斯人勺子up statepage
金融分析师预测Apple iPhone,Mac的另一个衰退
企业正在像lemmings一样涌入物联网
关于三星的Galaxy Note7需要了解的7件事
密码管理器LastPass的缺陷可以将控制权交给黑客
H&M加强了与1MW斯德哥尔摩数据中心建立的DataceRe热重用的承诺
法庭在商业宽带上击败了奥福姆裁决
将SEPSIS算法放入电子患者记录中
美国宇航局和GM手套给工人机器人手
Facebook完成其太阳能支气管互联网无人机的首次测试飞行
在英国的一半高技能欧盟工作人员正在考虑离开
DVLA试验亚马逊的Alexa for Mot和车辆税更新
ICO亮点挑战困难的工具为公共部门FOI请求合规
这个微小的设备可以感染销售点系统并解锁酒店客房
HPE发现:杂交将占据​​主导地位,内存计算到上升
Apple:Macos Sierra Public Beta今天可用
系统升级后,Experian承认移动和在线问题
超过一半的世界仍然离线
黑客在Cicis Pizza Chain上有130家餐厅
高光针对千兆宽带的200万房产
施奈尔:下一个总统可能面临着导致人们死亡的IoT Cyber​​attack
2016年浏览器选举:Chrome通过Landslide提供
TomTom和思科来解决自治车的实时通讯
长期运行的恶意运动每天感染了数千台电脑
对象存储将在网站和移动的无状态世界中“巨大”
布里斯托尔委员会将其光纤网络开放到商业运营商
您的位置:首页 >电子新闻 >

具有Qualcomm调制解调器的设备免受关键ASN.1缺陷的安全

2021-07-14 10:43:52 [来源]:

尽管初步关注,配备高通修正仪的智能手机不容易受到最近宣布的漏洞,这可能允许攻击者接管蜂窝网络装备和消费者移动设备。

该漏洞在ASN1C中发现了一个流行的编译器,该编译器产生用于解析ASN.1编码数据的C代码。摘要语法表示法一(ASN.1)是表示电信和网络齿轮中的数据的代表,编码,传输和解码数据的标准。

许多设备,从手机到切换蜂窝基础架构内的设备,解析ASN.1数据,并使用由基于U.S.的客观系统开发的编译器(如ASN1C)创建的程序。

来自Argentina的FundaciónAdosky的Programa Stic的研究人员在ASN1C中发现了一个安全问题,导致编译器生成的代码易受堆溢出。缺陷可能允许攻击者在使用ASN1C代码的设备的固件内远程执行rogue代码。

Carnegie Mellon大学的Cert Comentination Center(Cert / CC)发布了关于上周关于缺陷的安全咨询,并附有可能受到可能受影响的产品的长期供应商。虽然大多数供应商的漏洞状态被列为“未知”,但高通公司最初列为受影响。公司自已迁入“不受影响”的类别,以及惠普企业,霍尼韦尔和西门子。

易受攻击的ASN1C代码存在于Qualcomm“的蜂窝堆栈中,但由于单独的ASN.1数据编码规则而言并未被解析,一般代表通过电子邮件表示。为了利用漏洞,“攻击者需要在特制的网络信令消息中发送大值,但是在3G / 4G标准和产品中指定的编码规则不允许如此大的价值。“

具体地,如果具有Qualcomm调制解调器的设备在信令消息中接收非常大的值,则与利用缺陷所需的设备时,固件将截断该值。这意味着攻击者可以“使用Qualcomm 3G / 4G调制解调器的攻击设备。

如果此ASN.1编码规则和随后的数据截断也是由其他供应商的设备强制强制执行的。

理论上,缺陷可用于攻击网络级设备,这可能需要了解目标网络的特定设置,以及最终用户设备,可以通过流氓基站进行 - 假诱使手机临时注册的小型塔。

Programa Stic研究人员表示,使用使用ASN1C编译器生成的ASN.1解析代码或下面的ASN1C编译器的解析代码可能受到影响。目标系统开发了一个将包含在编译器即将推出的7.0.2版本中的补丁。该公司的客户可以在此期间要求固定的临时版本。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。