CVE-2024-49415

Versões do decodificador Samsung Monkey's Audio (APE) anteriores à versão SMR Dec-2024 Release 1

Uma falha de gravação fora dos limites de alta gravidade no decodificador Samsung Monkey's Audio (APE) permite que invasores remotos executem código arbitrário no dispositivo sem qualquer interação do usuário. Trata-se de uma vulnerabilidade do tipo “zero-click”, o que significa que os invasores podem explorá-la sem que o usuário precise clicar em nada. A vulnerabilidade é explorada por meio de um arquivo de áudio especialmente criado, enviado via Google Messages em dispositivos habilitados para RCS, como o Galaxy S23 e o S24. Estima-se que milhões de dispositivos estejam em risco devido a essa vulnerabilidade.

Para resolver o problema, atualize o dispositivo para a versão mais recente do software, SMR Dec-2024 Release 1, a fim de corrigir a vulnerabilidade. Como solução temporária, considere desativar o decodificador libsaped.so até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. Evite usar o endpoint da API afetado até que o problema seja resolvido.