Na Androidu se problem pisanja izvan granica može aktivirati tokom obrade medijskih fajlova bez interakcije korisnika.
Visoke ozbiljnosti ranjivost u Dolbyjevim Unified Decoder komponentama može biti iskorišćena za izvršavanje koda na daljinu, u određenim slučajevima bez ikakve interakcije korisnika.
Unified Decoder, koji je zasnovan na standardu Dolby Digital Plus (DD+), softversko je/hardversko rješenje koje se koristi za obradu DD+, Dolby AC-4 i drugih audio formata i njihovu konverziju u formate koji se mogu reproducirati preko zvučnika.
Istraživači iz Google Project Zero tima, Ivan Fratric i Natalie Silvanovich, otkrili su da dekoder pati od problema pisanja izvan granica koji se može okinuti tokom obrade evolution podataka.
„Dekoder upisuje informacije o evoluciji u veliki, heap-sličan kontinualni bafer koji je sastavni dio veće strukture i proračun dužine za jedan upis može preljevati zbog cjelobrojnog preljeva“, objašnjava Silvanovich.
To, kako dodaje, rezultira time da je alocirani bafer premali i da provjera granica prilikom narednog upisa nij eefikasna.
„Ovo može dovesti do prepisivanja kasnijih članova strukture, uključujući pokazivač koji se upisuje kada se obrađuje sljedeći syncframe“, navodi ona.
Označeno kao CVE-2025-54957 (CVSS 7.0), ovaj bezbjednosni propust može se aktivirati pomoću malicioznih audio poruka, što može dovesti do izvršavanja koda na daljinu.
Na Androidu se ranjivost može iskoristiti daljinski bez interakcije korisnika, jer se sve audio poruke i privitci lokalno dekodiraju koristeći Dolbyjev Unified Decoder, pojašnjava Silvanovich.
Istraživač je objavio PoC (proof-of-concept) kod koji demonstrira kako bauk može dovesti do pada procesa na Android uređajima (Pixel 9 i Samsung S24), kao i na macOS-u i iOS-u.
„Istražili smo iskoristivost ovog buga na Androidu i postigli smo 0-click izvršavanje koda u mediacodec kontekstu na Pixelu 9 koji koristi verziju 16 BP2A.250605.031.A2“, navodi Silvanovich.
Google Project Zero prijavio je propust kompaniji Dolby Laboratories u junu, a informacije o ranjivosti su objavljene nakon isteka 90-odnevnog roka za objavu, kada su ispravke već bile dostupne.
Microsoft je riješio ovaj propust u okviru oktobarskih Patch Tuesday ažuriranja, navodeći da je za uspješno iskorištavanje na Windowsu potrebna interakcija korisnika. Prošle sedmice Google je saopštio da su zakrpe uključene u najnovija ChromeOS ažuriranja.
Izvor: SecurityWeek
