خانه » CVE-2025-21043
هشدار‌های سایبری

CVE-2025-21043

Out-of-bounds Write in libimagecodec.quram.so

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 4 بازدید
هشدار سایبری CVE-2025-21043
  • شناسه CVE-2025-21043 :CVE
  • CWE-787 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 12, 2025
  • به روز شده: سپتامبر 12, 2025
  • امتیاز: 8.8
  • نوع حمله: Out-of-bounds write
  • اثر گذاری: Remote code execution(RCE)
  • حوزه: تلفن همراه
  • برند: Samsung
  • محصول: Samsung Mobile Devices
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری نوشتن خارج از محدوده (Out-of-bounds Write) در کتابخانه libimagecodec.quram.so دستگاه‌های موبایل سامسونگ پیش از SMR Sep-2025 Release 1 شناسایی شده است که به مهاجمان از راه دور اجازه می‌دهد با ارسال تصویر DNG مخرب، کد دلخواه اجرا کرده و کنترل دستگاه را به دست آورند.

توضیحات

آسیب‌پذیری CVE-2025-21043 در دستگاه‌های موبایل سامسونگ (Samsung Mobile Devices، شامل گوشی‌ها و تبلت‌های مبتنی بر اندروید)، ناشی از نوشتن خارج از محدوده در کتابخانه libimagecodec.quram.so است که وظیفه پردازش تصاویر را بر عهده دارد.

این ضعف امنیتی مطابق با CWE-787 طبقه‌بندی می‌شود و در ماژول تجزیه گر فایل های DNG (Digital Negative، فرمت خام تصاویر) رخ می‌دهد، جایی که لیست opcodeها (دستورات عملیاتی) در تصاویر خام پردازش می‌شود.

بهره‌برداری از این آسیب‌پذیری با ارسال یک فایل DNG دست‌کاری‌شده، مثلاً از طریق MMS، ایمیل یا برنامه‌های پیام‌رسان فعال می‌شود و مهاجم می‌تواند به‌صورت از راه دور و با ابزارهای خودکار (مثلاً اسکریپت‌های پایتون یا فریم‌ورک‌های اکسپلویت) یک تصویر حاوی opcodeهای مخرب ارسال کند تا سرریزِ حافظه heap رخ دهد و اجرای کد دلخواه (RCE) را ممکن سازد.

پیامدهای آن شامل نقض شدید محرمانگی با دسترسی به داده‌های حساس مانند اطلاعات کاربر، یکپارچگی با تغییر کد سیستم یا نصب بدافزار و در دسترس‌پذیری با امکان کرش دستگاه یا کنترل کامل آن است.

این ضعف به عنوان روز صفر (zero-day) شناسایی شده و در فهرست KEV ثبت شده است که نشان دهنده اکسپلویت فعال آن در محیط واقعی بوده و دستگاه‌ها در معرض حملات پیشرفته مثل جاسوسی یا باج‌افزار قرار دارند.

این آسیب‌پذیری نسخه‌های اندروید 13، 14، 15 و 16 را پیش از SMR Sep-2025 Release 1 تحت تأثیر قرار می‌دهد. سامسونگ با اصلاح پیاده‌سازی نادرست، پچ امنیتی را در SMR Sep-2025 Release 1 منتشر کرده است.

CVSS

Score Severity Version Vector String
8.8 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Product
Android 13, 14, 15, 16 Samsung Mobile Devices

لیست محصولات بروز شده

Versions Product
unaffected at SMR Sep-2025 Release in Android 13, 14, 15, 16 Samsung Mobile Devices

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Samsung Mobile را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
23,500 site:.ir “Samsung Mobile” Samsung Mobile

نتیجه گیری

این آسیب‌پذیری با شدت بالا در دستگاه‌های موبایل سامسونگ، امکان اجرای کد دلخواه از راه دور از طریق تصویر DNG مخرب را فراهم می‌کند و به عنوان روز صفر با اکسپلویت فعال شناخته شده است. برای کاهش ریسک و جلوگیری از بهره‌برداری، اقدامات زیر ضروری است:

  • به‌روزرسانی فوری: دستگاه‌های سامسونگ را از طریق تنظیمات سیستم به SMR Sep-2025 Release 1 یا بالاتر به روزرسانی کنید. فایل‌های به‌روزرسانی را تنها از منابع رسمی سامسونگ دانلود نمایید.
  • راهکارهای کاهش ریسک (Mitigations): پیش‌نمایش تصاویر را در اپلیکیشن‌های پیام‌رسان غیرفعال کنید، از ابزارهای آنتی‌ویروس مانند Google Play Protect برای اسکن فایل‌های DNG استفاده نمایید و پردازش تصاویر خام را در اپ‌های third-party محدود کنید.
  • محدودسازی دسترسی: تعامل با فایل‌های ناشناس را با سیاست‌های MDM (Mobile Device Management) کنترل کنید، MMS و ایمیل‌های مشکوک را مسدود نمایید و از VPN برای ارتباطات امن بهره ببرید.
  • نظارت بر سیستم: لاگ‌های سیستم را با ابزارهایی مانند ADB بررسی کنید و از سیستم‌های SIEM برای تشخیص تلاش‌های بهره برداری در پردازش تصاویر استفاده نمایید.
  • ایزوله‌سازی محیط: اپلیکیشن‌های حساس را در سندباکس اجرا کنید و دسترسی به کتابخانه‌های تصویر مانند quram.so را با SELinux محدود نمایید.
  • اسکن و تست امنیتی: دستگاه را با ابزارهایی مانند فریم ورک امنیتی موبایل (MobSF) اسکن کنید و تست‌های نفوذ روی سناریوهای پردازش DNG انجام دهید.
  • آموزش: کاربران و مدیران را در مورد ریسک‌های آسیب پذیری روز صفردر پردازش تصاویر، اهمیت به‌روزرسانی‌ها و اجتناب از فایل‌های ناشناس آموزش دهید.

اجرای این اقدامات ریسک اجرای کد از راه دور را به حداقل رسانده و سطح امنیت دستگاه‌های اندرویدی سامسونگ را در برابر حملات فعال به طور قابل توجهی افزایش می دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
آسیب‌پذیری از طریق پردازش یک فایل تصویر DNG مخرب قابل بهره‌برداری است؛ مهاجم با ارسال یا قرار دادن فایل DNG حاوی فیلدهای opcode دستکاری‌شده مثلاً در MMS، ایمیل یا پیام‌رسان می‌تواند روند پارسینگ را فعال کند و نوشتن خارج از محدوده در heap را القا نماید.

Credential Access (TA0006)
هرچند این آسیب‌پذیری مستقیماً credential harvesting نیست، اما اجرای کد دلخواه پس از بهره‌برداری می‌تواند به‌عنوان مرحله‌ای برای سرقت توکن‌ها، کوکی‌ها یا فایل‌های اعتبارسنجی محلی مورد استفاده قرار گیرد.

Execution (TA0002)
آسیب‌پذیری منجر به اجرای کد می‌شود؛ مهاجم با ارسال DNG دست‌کاری‌شده می‌تواند جریان پارسینگ را به‌هم زده و کنترل جریان اجرا را به‌دست می گیرد.

Discovery (TA0007)
پس از اجرای کد، مهاجم می‌تواند اطلاعات محیط (فهرست اپ‌ها، نسخه‌های سیستم، مسیرها و سرویس‌های در حال اجرا) را جمع‌آوری کند تا حملات بعدی را هدفمند سازد.

Privilege Escalation (TA0004)
بهره‌برداری موفق از نقص حافظه ممکن است به اجرای کد در زمینه کاربر سرویس مدیا منجر شود و از آنجا مهاجم بتواند از ضعف‌های مجوز جهت افزایش امتیاز استفاده کند.

Collection (TA0009)
پس از نفوذ، مهاجم معمولاً به جمع‌آوری داده‌های محلی مانند تصاویر، مخاطبین، پیام‌ها و فایل‌های ذخیره‌شده می‌پردازد تا برای اهداف جاسوسی یا باج‌گیری استفاده کند.

Exfiltration (TA0010)
مهاجم موفق می‌تواند داده‌های جمع‌آوری‌شده را به سرور خارجی منتقل کند؛ مسیرهای متداول شامل کانال شبکه عادی، کانال‌های پنهان (covert channels) یا اپلیکیشن‌های طرف‌سوم است.

Defense Evasion (TA0005)
اکسپلویت می‌تواند برای پاک‌سازی لاگ‌ها، غیرفعال‌سازی آنتی‌ویروس/Play Protect یا تغییر شواهد محلی جهت مخفی ماندن مهاجم از دید تحلیلگران مورد استفاده قرار گیرد.

Lateral Movement (TA0008)
اگر دستگاه هدف در شبکه سازمانی باشد، مهاجم ممکن است از دستگاه به عنوان نقطه پرش برای آسیب‌رسانی به سایر دستگاه‌ها یا زیرساخت‌ها استفاده کند مثلاً دسترسی به فایل‌سرور، MDM console یا حساب‌های شبکه

Impact (TA0040)
پیامد فنی این ضعف شامل اجرای کد از راه دور (RCE)، نقض محرمانگی (دسترسی به داده‌ها)، اختلال در دسترسی (کرش‌های دستگاه) و امکان نصب بدافزار یا ادغام در زنجیره تامین نرم‌افزاری است که می‌تواند به از دست رفتن کنترل دستگاه و پیامدهای تجاری/حقوقی منجر شود.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-21043
  2. https://www.cvedetails.com/cve/CVE-2025-21043/
  3. https://security.samsungmobile.com/securityUpdate.smsb?year=2025&month=09
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-21043
  5. https://vuldb.com/?id.323745
  6. https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-21043
  7. https://github.com/douglasmun/Douglas-Guidebook
  8. https://nvd.nist.gov/vuln/detail/CVE-2025-21043
  9. http://cwe.mitre.org/data/definitions/787.html

همچنین ممکن است دوست داشته باشید

CVE-2025-1331

CVE-2025-1300

CVE-2025-21245

CVE-2025-21409

CVE-2025-21483

CVE-2025-59502

CVE-2025-59497

CVE-2025-23356

CVE-2025-1298

CVE-2025-1277

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×