A MediaTek divulgou o Boletim de Segurança de Produtos de janeiro de 2025, abordando diversas vulnerabilidades em seus chipsets, que equipam desde smartphones e tablets até dispositivos IoT e smart TVs. Entre as falhas corrigidas, destaca-se uma vulnerabilidade crítica de execução remota de código (RCE) que exige atenção imediata.

A falha mais grave, identificada como CVE-2024-20154, é um erro de estouro de pilha no firmware do modem da MediaTek. Classificada como crítica, a vulnerabilidade permite que um invasor explore o sistema conectando um dispositivo de usuário (User Equipment, UE) a uma estação base falsa controlada pelo atacante. Não é necessária nenhuma interação do usuário ou privilégios elevados para que a exploração aconteça. Essa falha afeta mais de 40 modelos de chipsets, incluindo os MT2735, MT6767, MT6785, MT6873 e MT6880.

Outras falhas corrigidas incluem problemas no driver WLAN (CVE-2024-20146, CVE-2024-20148), que poderiam levar à execução remota de código, e uma vulnerabilidade de gravação fora dos limites no subsistema M4U (CVE-2024-20105), que também pode permitir escalonamento de privilégios locais.

A MediaTek já notificou os fabricantes de dispositivos (OEMs) sobre essas vulnerabilidades e disponibilizou os patches de segurança correspondentes. Os usuários são fortemente recomendados a verificar com os fabricantes de seus dispositivos por atualizações e aplicá-las assim que estiverem disponíveis, reduzindo o risco de exploração.