高通芯片曝高危漏洞:攻击者可远程执行任意代码
内容提要
高通数据网络堆栈和多模呼叫处理器存在两个高危漏洞CVE-2025-21483和CVE-2025-27034,攻击者可远程执行任意代码。建议立即打补丁并监控网络流量以防利用这些漏洞。
关键要点
-
高通数据网络堆栈和多模呼叫处理器存在两个高危漏洞CVE-2025-21483和CVE-2025-27034,攻击者可远程执行任意代码。
-
这两个漏洞的CVSS评分均为9.8分,影响骁龙8 Gen1/Gen2、FastConnect、X55及物联网/汽车芯片。
-
CVE-2025-21483是远程堆缓冲区溢出漏洞,攻击者可通过恶意RTP数据包远程控制受影响芯片组。
-
CVE-2025-27034是数组索引验证不当漏洞,攻击者可构造格式错误的PLMN选择响应进行攻击。
-
高通已发布补丁,建议设备制造商及时进行固件升级并监控网络流量。
-
管理员应阻止异常的RTP流和PLMN选择流量,并在Android平台上实施严格的SELinux策略。
-
高通客户和设备终端用户应联系制造商获取详细的补丁说明和芯片组覆盖详情。
延伸解读
漏洞影响范围
这两个高危漏洞影响了多款高通芯片,包括骁龙8 Gen1、Gen2及FastConnect等。由于这些芯片广泛应用于智能手机、物联网设备和汽车中,漏洞的潜在影响范围非常广泛,可能导致大量设备面临安全风险。
补丁与防护措施
高通已发布针对这两个漏洞的补丁,设备制造商应尽快进行固件升级。此外,建议管理员在补丁应用前,阻止异常的RTP流和PLMN选择流量,以降低被攻击的风险。实施严格的SELinux策略也能增强系统的安全性。
监控与响应
在漏洞修复过程中,持续监控网络流量至关重要。安全研究人员建议,管理员应关注CVSS评分,并采取网络过滤措施作为临时防护,以防止攻击者利用这些漏洞进行远程代码执行。
延伸问答
高通芯片的漏洞有哪些?
高通芯片存在两个高危漏洞,分别是CVE-2025-21483和CVE-2025-27034。
这两个漏洞的CVSS评分是多少?
这两个漏洞的CVSS评分均为9.8分。
CVE-2025-21483漏洞是如何被利用的?
CVE-2025-21483是远程堆缓冲区溢出漏洞,攻击者可通过恶意RTP数据包远程控制受影响芯片组。
高通针对这些漏洞采取了什么措施?
高通已发布补丁,建议设备制造商及时进行固件升级并监控网络流量。
受影响的芯片型号有哪些?
受影响的芯片型号包括骁龙8 Gen1、骁龙8 Gen2、FastConnect、X55及物联网/汽车芯片。
管理员应如何防范这些漏洞的利用?
管理员应阻止异常的RTP流和PLMN选择流量,并在Android平台上实施严格的SELinux策略。
