US-CERT昨日发出警告,管理和互联世界各地移动网络的软件应用程序可能会受到一个远程执行代码(RCE)漏洞影响,可以让攻击者接管关键设备。该漏洞(CVE-2016-5080)被发现在ASN1C代码编译器当中,此软件由美国Objective Systems公司推出,帮助开发者将ASN.1数据结构,操作和指令转换为C,C ++,C#或Java代码。ASN.1(抽象语法标记)是一个国际标准,说明在电信领域使用的数据结构和传输协议。ASN1C可以嵌入到部署管理GSM或更现代LTE网络的移动设备上运行的应用程序当中。
目前调查发现,ASN1C到C和C ++的编译器受到这个漏洞影响,漏洞是基于堆的缓冲区溢出,允许攻击者在受影响系统上远程执行代码,而无需对设备进行认证。Objective Systems仍然在调查ASN.1到C#和ASN.1到Java的编译器是否受到类似漏洞影响。
该公司已经发布了在ASN1C的最新7.0.1.x分支当中发布临时性补丁解决问题,并计划在未来几周内推出7.0.2分支,进行永久性的修复。
通过US-CERT,该公司也联系了34家移动运营商和设备供应商,告知它们这个问题。到现在为止,只有高通已经确认受到漏洞影响,而霍尼韦尔公司和惠普公司都表示它们没有受到漏洞影响。
京公网安备 11010502049343号