Apple Lossless Audio Codec (ALAC) er en tapsfri kodek for lyd som støttes av mange systemer. Den ble introdusert av Apple i 2004 og utgitt som åpen kildekode i 2011.
Samtidig som mange leverandører har tatt i bruk den frie utgaven, har Apple videreutviklet en proprietær versjon, inkludert å fjerne flere sårbarheter. Men disse har ikke blitt fjernet i den åpne kildekoden.
Berører svært mange enheter
I alle fall to av de største leverandørene av systembrikker til smartmobiler, Qualcomm og Mediatek, har begge brukt deler av den åpne ALAC-kildekoden i sine egne lydkodeker. I fjor oppdaget IT-sikkerhetsselskapet Check Point at enheter med disse kodekene er sårbare for angrep som åpner for fjernkjøring av vilkårlig kode. Alt som skal til for å utnytte sårbarheten, er en spesielt utformet lydfil.
Sårbarhetene skal også gjøre det mulig for apper å oppnå flere privilegier, inkludert å få tilgang til mediedata og brukersamtaler.
Både Mediatek og Qualcomm kom sent i fjor med sikkerhetsfikser som fjerner sårbarhetene, som riktignok ikke berører alle brikkesettene til selskapene. Det er ikke utgitt noen oversikt over hvilke brukerenheter som er berørt.
Mange enheter som er under tre år gamle (fra lanseringsdatoen) bør for lengst har mottatt sikkerhetsfiksene, men det er få leverandører av Android-enheter som kommer med sikkerhetsoppdatering til eldre enheter enn dette. Slike enheter bør bare brukes med stor forsiktighet.
Advarer etter sviende tap for gründerbedrift: – Tenk deg nøye om før du saksøker kunden din
