联发科本周发布产品更新,修补影响其手机及物联网晶片的多项资安漏洞,包含一个影响蓝牙驱动程式高风险提权漏洞,以及多项影响WLAN和蓝牙驱动程式的中度风险漏洞。
这波漏洞影响联发科智慧型手机、平板、AIoT、智慧显示器、智慧平台、OTT、电脑视觉、音讯和电视晶片组。
高风险漏洞编号CVE-2025-20672,为一堆积缓冲溢位(Heap overflow)漏洞。本漏洞起于蓝牙驱动程式边界检查(bounds check)不正确,导致攻击者提高本地User执行权限以进行恶意活动,而本漏洞不需使用者互动即可达成滥用。
本项漏洞是由外部研究人员通报,采用受影响软体的晶片涵括IoT装置到中、高阶笔电。
这波更新还修补了多项中度风险漏洞,涵括了一项提权(EoP)漏洞CVE-2025-20674(影响蓝牙驱动程式)及5项阻断服务(DoS)攻击漏洞,包括CVE-2025-20673、CVE-2025-20675、CVE-2025-20676、CVE-2025-20677和CVE-2025-20678,其中除了CVE-2025-20678为电信模组IMS Service,其余皆影响WLAN驱动程式。
联发科已经提早至少二个月通知装置制造商并提供安全修补程式。