.png)
há 1 dia
13
Pesquisadores do Project Zero do Google identificaram uma vulnerabilidade crítica de zero clique no decodificador Dolby Digital Plus (DDP), permitindo execução remota de código a partir de arquivos de áudio maliciosos enviados via apps de mensagem. O bug resulta de um erro de cálculo de comprimento durante o processamento de evolution data, gerando alocação incorreta de buffer e possibilitando sobrescrita de ponteiros em estruturas de memória.
Leia também
Detento invade e utiliza sistema prisional a seu favor
Brasileiro preso por participar de grupo de ransomware
Usuários Android estão especialmente expostos: áudio recebido por RCS ou outros aplicativos populares é decodificado automaticamente para transcrição, ativando o bug sem nenhuma interação do usuário. Basta o envio de um arquivo manipulado (ex.: .ec3, .mp4) para que o dispositivo vítima processe o conteúdo e abra caminho para ataques, desde travamento do processo C2 até o controle total do sistema via execução arbitrária de código.
Phishing e campanhas direcionadas podem explorar o bug para roubo de dados, instalar malware ou sequestrar dispositivos. O risco é potencialmente ampliado para outros sistemas que integram o decoder Dolby, como macOS, smart TVs e streamers, embora esteja mais facilmente explorável no Android devido à forma como arquivos são automaticamente processados.
Patches ainda não foram oficialmente divulgados, mas a recomendação é atualizar dispositivos e aplicativos de mensagens sem demora. A vulnerabilidade foi tornada pública após vencido o prazo de divulgação responsável. Pesquisas continuam avaliando o impacto em outras plataformas.
English (US) · 
Portuguese (BR) ·