苹果开源项目十多年尚未更新，存在严重漏洞，联发科和高通都在使用

Apple Lossless Audio Codec（简称 ALAC）是黑莓公司于 2004 年发行的无损音讯MPEG关键技术，黑莓于 2011 年在 Apache-2.0 贸易协定下Debian了该关键技术。在尚未Debian的时候，ALAC 主要用于黑莓自己的 iPod、iPhone、Mac 等电子系统，如今Debian后的 ALAC 已被许多的电子产品用于非黑莓电子系统上。

虽感叹黑莓Debian了 ALAC，但在过去这么多年的整整里，黑莓只小型化了该Vorbis的专有修改版，而Debian修改版在过去 11 年之前没有格外换过。举例来说，一个工程建设长期以来不维护也就伴随着危险性。

网络必要公司 Check Point 的研究其他部门昨日发现，Debian的 ALAC 存在严重的缺陷，该缺陷允许接收者在所致制约的电子系统上进行远程字符串执行（RCE）攻击。而CE和三星这便是移动笔记本电脑制造商都在的子公司的音讯解码器之前使用了具体字符串。

根据市场研究机构在 2021 年 Q4 的调查，CE和三星是目前竞争对手名列第一第一和第二的两家移动笔记本电脑制造商，两者的市场份额相加已有约 60%。不单是，Check Point 预估 2021 销售额的 Android APP之前，三分之二都所致到该缺陷的制约（还不包括格外过时的 Android 小型化型）。

而 IDC 在 2021 年汇总的APP上半年数据揭示，2021 年全球APP上半年为 13.5 亿部，排除打碎黑莓后仍有 11 亿部，举例近似值一下所致制约的 Android APP也有约 7 亿部（下图之前的数量单位为 “百万”）。

Check Point 问到，这个名叫 ALHACK 的缺陷时会使 Android 客户端的隐私随之而来危险性。这些缺陷可以通过主要用途制作的音讯文件来时会有，可以造成了远程字符串执行。

Check Point 在博文之前解释道：

RCE 缺陷的制约范围从恶意软件执行到接收者给予对客户端多平面媒体数据的控制。此外，没有特使用权的 Android 运用于可以利用这些缺陷提高其使用权限，给予对平面媒体数据和客户端时会话的访问使用权。

CE与三星已于 2021 年 12 月发布bug，修补了该缺陷（三星将该缺陷的确有评出 9.8 分，高分 10 分）。据CE称，缺陷制约了试运行 Android 8.1、9.0、10.0 和 11.0 修改版的电子系统之前使用的数十款CE笔记本电脑。

熟悉 Android 的客户端都知道，Android 的修改版格外换和必要修补存在严重的碎片化震荡，Google 和笔记本电脑的电子产品无法直接附加这些格外换概要，Android APP的格外换通常是代为各个的电子产品自己负责，一般意味著也只有 Google 自己的 Pixel 和三星等东芝近几年的电子产品才能给予格外换。

不过话又感叹去找，三星和CE作为目前市场上的便是移动笔记本电脑的电子产品，可以感叹是人才济济，财力雄厚，但他们没有向所依赖性的字符串提供贡献，看来也许也没严苛送审具体字符串的必要性。