Een beveiligingslek in een softwarebibliotheek waar allerlei mobiele telefoons en mobiele netwerken gebruik van maken zorgt ervoor dat een aanvaller in het ergste geval het onderliggende systeem kan overnemen. Het probleem speelt in een compiler van ASN.1.
Het Abstract Syntax Notation One (ASN.1) is een technische standaard die regels bevat voor het versturen en verwerken van gegevens in telecom- en computernetwerken. Om ervoor te zorgen dat hun apparatuur en systemen met de ASN.1-standaard overweg kan maken veel fabrikanten en leveranciers van een aparte compiler gebruik. Het Amerikaanse Objective Systems ontwikkelde een dergelijke compiler genaamd ASN1C, die onder andere door bedrijven in de telecom-, datanetworking-, luchtvaart-, defensie- en wetshandhavingsector wordt gebruikt.
Een kwetsbaarheid in een softwarebibliotheek van de ASN1C-compiler maakt het mogelijk voor een aanvaller om systemen zoals mobiele telefoons, netwerken en andere systemen aan te vallen. Ook embedded software en firmware worden door de kwetsbaarheid geraakt en laten een aanvaller op afstand code uitvoeren. Inmiddels heeft Objective Systems een "interim versie" ontwikkeld waarin het probleem is verholpen. Klanten kunnen deze versie op aanvraag verkrijgen.
Volgens het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit is de apparatuur van hardwarefabrikant Qualcomm kwetsbaar. Of het probleem ook bij andere fabrikanten speelt is op dit moment onbekend. Het Nationaal Cyber Security Center (NCSC) van de overheid heeft inmiddels ook een waarschuwing voor de kwetsbaarheid afgegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.