漏洞概況

全球領先的芯片組制造商聯發科（MediaTek）近日發布最新產品安全公告，披露了影響其智能手機、物聯網設備及其他嵌入式系統芯片的多項安全漏洞。

高危漏洞分析

CVE-2025-20696
作為公告披露的首個且最嚴重的漏洞，該高危缺陷源于下載代理（Download Agent, DA）中的越界寫入（out-of-bounds write）問題。由于缺少邊界檢查，攻擊者可通過物理接觸設備實現本地權限提升。雖然需要用戶交互觸發，但無需額外執行權限。受影響芯片組包括MT6761、MT6877、MT6983和MT8196等主流型號，涉及Android 13.0/14.0/15.0以及openWRT、Yocto、RDK-B和Zephyr系統版本。

CVE-2025-20697
該漏洞由外部研究人員報告，存在于電源硬件抽象層（Power Hardware Abstraction Layer, Power HAL）中。與前者不同，此漏洞無需用戶交互，但要求攻擊者已具備系統級權限，成功利用可導致進一步權限提升或任意代碼執行。主要影響MT6765、MT6889、MT6989和MT8893芯片組家族，限于Android 14.0/15.0設備。盡管被評定為中危漏洞，其靜默利用特性值得企業和移動設備廠商高度關注。

CVE-2025-20697同源漏洞
CVE-2025-20698
技術上與CVE-2025-20697同屬Power HAL越界寫入缺陷，但影響范圍更廣，涵蓋從MT6739等傳統型號到MT6895、MT6991等高性能SoC。同樣無需用戶交互，波及Android 13.0/14.0/15.0全系設備。

修復進展

聯發科確認已在公開披露前至少兩個月通知原始設備制造商（OEM），目前安全補丁已全面就緒。公司敦促所有制造商和開發者立即部署更新。