联发科修补蓝牙驱动程序高风险漏洞

联发科本周发布产品更新，修补影响其手机及物联网芯片的多项安全漏洞，包含一个影响蓝牙驱动程序高风险提权漏洞，以及多项影响WLAN和蓝牙驱动程序的中度风险漏洞。

这波漏洞影响联发科智能手机、平板、AIoT、智能显示器、智能平台、OTT、计算机视觉、音频和电视芯片组。

高风险漏洞编号CVE-2025-20672，为一堆积缓冲溢出（Heap overflow）漏洞。本漏洞起于蓝牙驱动程序边界检查（bounds check）不正确，导致攻击者提高本地User执行权限以进行恶意活动，而本漏洞不需用户互动即可完成滥用。

本项漏洞是由外部研究人员通报，采用受影响软件的芯片涵盖IoT设备到中、高端笔记本。

这波更新还修补了多项中度风险漏洞，涵盖了一项提权（EoP）漏洞CVE-2025-20674（影响蓝牙驱动程序）及5项拒绝服务（DoS）攻击漏洞，包括CVE-2025-20673、CVE-2025-20675、CVE-2025-20676、CVE-2025-20677和CVE-2025-20678，其中除了CVE-2025-20678为电信模块IMS Service，其余皆影响WLAN驱动程序。

联发科已经提早至少二个月通知设备制造商并提供安全修补程序。