三星Galaxy S23/24海外版曝高危音頻解碼漏洞，已修復

近期，谷歌Project Zero安全研究團隊公開披露了一項針對三星海外版手機的高危安全漏洞，漏洞編號為CVE-2024-49415。此漏洞存在于三星手機內(nèi)置的Monkey's Audio（APE）音頻解碼器組件libsaped.so中，性質(zhì)為內(nèi)存越界寫入（OBW），其潛在危害不容小覷。

據(jù)詳細報告顯示，谷歌團隊在Galaxy S23及S24系列的海外版手機中發(fā)現(xiàn)了這一安全缺陷。這些手機預裝了Google Messages應用，并且默認啟用了RCS（富通信套件）功能。攻擊者能夠利用這一漏洞，通過向目標手機發(fā)送特定的音頻文件，遠程觸發(fā)libsaped.so組件崩潰，進而實現(xiàn)任意代碼的遠程執(zhí)行。這種攻擊方式無需用戶進行任何交互操作，極大地增加了其隱蔽性和危害性。

面對這一嚴重安全威脅，三星公司在今年9月即已接到谷歌團隊的報告，并迅速采取行動。在同年12月，三星通過發(fā)布SMR Dec-2024 Release 1安全補丁更新，成功修復了這一漏洞，從而避免了潛在的安全風險。

值得注意的是，盡管CVE-2024-49415的CVSS風險評分僅為8.1，但三星公司仍將其評定為“重大”級別。這一決策背后，反映出該漏洞無需用戶干預即可被觸發(fā)的高危特性，以及三星對于用戶數(shù)據(jù)安全的高度重視。

此次安全漏洞的披露和修復過程，再次提醒了智能手機用戶及廠商關于移動設備安全性的重要性。隨著移動互聯(lián)網(wǎng)的普及和智能設備的廣泛應用，保障用戶數(shù)據(jù)安全已成為行業(yè)共同面臨的重大課題。三星和谷歌等企業(yè)的迅速響應和積極應對，無疑為行業(yè)樹立了良好的榜樣。