具有Qualcomm Modems的设备免受关键的ASN.1电信缺陷安全
报告称,近10%的伦敦人仍然没有连接
Ex-Morrisons It主管表示,存储性能测试至关重要
Bupa国际健康保险警告内部数据泄露
特斯拉需要重新考虑其自动驾驶仪技术
IBM确认了两名英国进一步的数据中心
优步投入5亿美元来映射世界
CSC在HPE合并之前宣布裁员
购物中心巨头Inu推出启动孵化程序
神奇宝贝下降,目标是DDOS攻击
卡罗琳诺克斯在选举后占据数字政府责任
斯诺登开发iPhone案例,意味着杀死监控
政府反对更快的宽带USO'可笑'
歌剧筹码的1.2亿美元
规模超融合添加全闪光1150F和“Workhorse”5150D
以色列恐怖袭击的受害者苏Facebook以10亿美元
盗版软件用于在APAC中传播恶意软件
每个家庭和商业的大电池:储能存储到今年
Facebook Messenger有十亿用户,但现在有一个新问题
尽管安全问题,欧洲云采用仍在继续
来自'Petya'赎金软件攻击的主要课程
曾经被认为死亡的移动操作系统恢复到印度智能手机的生活
亚马逊的云业务继续向上3月
谷歌推出云服务以了解人类语言
NHS失去了数字导演Beverley Bryant到私营部门
爱荷华州在新风电场投资1亿美元
网站让黑客轻松访问,审计揭示
TSG 1899 Hoffenheim随着SAP Analytics获得了“头部更快”
微软正在销售Hololens的企业版,但这不是你的想法
四个美国公司统治世界的云基础设施
Zend Php框架升级升级侧重于性能和中间件
中国黑客责备美国银行业代理的多次违规行为
网络犯罪基础设施在巴西在奥运会前升起
英特尔利润幻灯片借鉴最近的裁员
使用tor?Riffle承诺能够更好地保护您的隐私
银行帮助年轻人通过视频博客管理资金
Facebook的404区 - 我们所知道的
KCOM通过紧急呼叫服务失败罚款
机器人自动化背后的人类学徒
我们抓住了Kickasstorrent的域名,网站的所有者被捕
Raspberry PI 3创建者希望Windows 10 Desktop OS支持
Crest说,工业控制系统中的网络安全性
东盟CIO花费更多关于数字转型
在您的下一次智能手机购买中需要考虑的最重要的事情
辐射检测装置对网络攻击开放,研究员发现
Mingis关于Tech:塞拉,Siri和口袋妖怪,我!
密度旨在结束医院,无家可归者庇护所,咖啡店和其他地方的排队
数字商业银行获得监管批准
AI和机器人将“创造政治不稳定”,直到人类找到新的职业
美国将4亿美元的4亿美元进入下一代无线研究
您的位置:首页 >科技 > 物联科技 >

具有Qualcomm Modems的设备免受关键的ASN.1电信缺陷安全

2021-07-12 11:44:11 [来源]:

尽管初步令人担忧,但配备高通修正仪的智能手机并不容易受到最近宣布的漏洞,这可能允许攻击者接管蜂窝网络装备和消费者移动设备。

该漏洞在ASN1C中发现了一个流行的编译器,该编译器产生用于解析ASN.1编码数据的C代码。摘要语法表示法一(asn.1)是表示电信和计算机网络中数据的代表,编码,传输和解码数据的标准。

许多设备来自移动电话到切换蜂窝基础架构内的设备解析ASN.1数据,并使用由基于U.S.的客观系统开发的编译器(如ASN1C)创建的程序。

来自Argentina的FundaciónAdosky的Programa Stic的研究人员在ASN1C中发现了一个安全问题,导致编译器生成的代码易受堆溢出。缺陷可能允许攻击者在使用ASN1C代码的设备的固件内远程执行rogue代码。

Carnegie Mellon大学的Cert Comentination Center(Cert / CC)发布了一份关于上周关于缺陷的安全咨询,伴随着有可能受到影响的产品的长长的供应商。虽然大多数供应商的漏洞状态被列为“未知”,但高通公司最初列为受影响。公司自已迁入“不受影响”的类别,以及惠普企业,霍尼韦尔和西门子。

易受攻击的ASN1C代码存在于Qualcomm“的蜂窝堆栈中,但由于单独的ASN.1数据编码规则而言并未被解析,一般代表通过电子邮件表示。为了利用漏洞,“攻击者需要在特制的网络信令消息中发送大值,但是在3G / 4G标准中指定的编码规则和我们的产品中指定的编码规则不允许如此大的价值来实现。 “

具体地,如果具有Qualcomm调制解调器的设备在信令消息中接收非常大的值,则与利用缺陷所需的设备时,固件将截断该值。这意味着攻击者可以“使用Qualcomm 3G / 4G调制解调器的攻击设备。

如果此ASN.1编码规则和随后的数据截断也是由其他供应商的设备强制强制执行的。

理论上,缺陷可用于攻击网络级设备,这可能需要了解目标网络的特定设置,以及最终用户设备,可以通过流氓基站进行 - 假诱使手机临时注册的小型塔。

Programa Stic研究人员表示,使用使用ASN1C编译器生成的ASN.1解析代码或下面的ASN1C编译器的解析代码可能受到影响。目标系统开发了一个将包含在编译器即将推出的7.0.2版本中的补丁。该公司的客户可以在此期间要求固定的临时版本。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。