Source: https://www.securityweek.com/vulnerability-in-dolby-decoder-can-allow-zero-click-attacks/
🛡 概要
DolbyのUnified Decoderにおける高危険度の脆弱性CVE-2025-54957が発見され、特定の条件下でユーザーの操作なしにリモートコード実行が可能となる恐れがあります。この脆弱性は、Dolby Digital Plus(DD+)標準に基づいて構築されたデコーダに関連しており、DD+やDolby AC-4などの音声フォーマットを処理する際に発生します。音声メッセージや添付ファイルは、DolbyのUnified Decoderを使用してローカルでデコードされるため、Androidデバイスでのリモート攻撃が容易になります。
🔍 技術詳細
この脆弱性は、進化データを処理する過程で発生するバッファオーバーフローに起因しています。具体的には、デコーダが大きなヒープ状の連続バッファに進化情報を書き込む際に、整数のオーバーフローが発生する可能性があります。これにより、次の書き込みに対するバッファのサイズが不十分になり、後続の構造体メンバーが上書きされるリスクが生じます。特に、次のsyncframeが処理される際に書き込まれるポインタが影響を受ける可能性があります。CVE-2025-54957はCVSSスコア7.0でトラッキングされており、悪意のある音声メッセージを使用してリモートコード実行が可能となります。
⚠ 影響
この脆弱性を悪用されると、AndroidデバイスやmacOS、iOSデバイスでプロセスがクラッシュしたり、リモートでコードが実行されたりする可能性があります。特に、Pixel 9やSamsung S24などのAndroidデバイスでは、ユーザーの操作なしに攻撃が成立するため、非常に危険です。Microsoftは、この脆弱性を10月のPatch Tuesdayアップデートで修正しましたが、Windows環境ではユーザーの操作が必要であることが指摘されています。Googleは、最新のChromeOSアップデートにパッチを含めたと発表しています。
🛠 対策
ユーザーは、デバイスのOSやアプリケーションを最新の状態に保つことが重要です。特に、DolbyのUnified Decoderを使用するアプリケーションは、最新のパッチが適用されていることを確認してください。また、不審な音声メッセージや添付ファイルは開かないようにし、セキュリティ対策ソフトウェアを導入することも推奨されます。企業は、リモートコード実行を防ぐために、脆弱性が修正されたソフトウェアの導入を急ぐ必要があります。セキュリティのベストプラクティスを遵守し、常に脅威に備えておくことが求められます。
