Một lỗ hổng nghiêm trọng (CVE-2024-49415, điểm CVSS: 8.1) đã được phát hiện trong bộ giải mã Monkey’s Audio (APE) trên thiết bị Samsung chạy Android 12, 13, và 14.
Lỗ hổng này, cho phép thực thi mã từ xa mà không cần tương tác người dùng (zero-click), đã được vá trong bản cập nhật bảo mật tháng 12/2024 của Samsung.
Nhà nghiên cứu Natalie Silvanovich từ Google Project Zero cho biết tính năng sẽ được kích hoạt khi Google Messages sử dụng dịch vụ rich communication services (RCS), cấu hình mặc định trên Galaxy S23 và S24. Lợi dụng lỗ hổng này, kẻ tấn công có thể gửi một tệp âm thanh độc hại, kích hoạt lỗi tràn bộ đệm trong quá trình xử lý và phiên âm tin nhắn.
Samsung đã phát hành bản vá vào tháng 12/2024, bổ sung cơ chế kiểm tra đầu vào để ngăn chặn tấn công. Bản cập nhật này cũng khắc phục một lỗ hổng khác (CVE-2024-49413) trong SmartSwitch, ngăn chặn các kẻ tấn công cài đặt ứng dụng độc hại.
