MediaTek: grudniowy biuletyn bezpieczeństwa (grudzień 2025) — luki w module modemu i GPU, aktualizacje dostępne

Wprowadzenie do problemu / definicja luki

MediaTek opublikował December 2025 Product Security Bulletin (1 grudnia 2025 r.), opisując szereg podatności wpływających na wybrane układy SoC firmy. Trzonem są błędy w komponencie modemu (baseband) prowadzące do awarii (DoS), a także średniej wagi problem ujawnienia informacji w GPU pdma. MediaTek informuje, iż brak dowodów na aktywne wykorzystanie zgłoszonych luk w środowisku produkcyjnym w momencie publikacji.

W skrócie

• 13 luk wysokiej ważności (m.in. CVE-2025-20792, 20753–20759, 20750–20756, 20790–20791) — głównie błąd obsługi wyjątków, dereferencje wskaźników NULL i niepoprawna walidacja wejścia w modemie.
• 17 luk średniej ważności (m.in. CVE-2025-20763–20777, 20788–20789) — w tym ujawnienie informacji w GPU pdma (CVE-2025-20789).
• Biuletyn Androida z 1 grudnia 2025 r. potwierdza poziomy poprawek 2025-12-01 i 2025-12-05; najpoważniejsza w nim luka dotyczy Framework (RDoS), a Google sygnalizuje ograniczone, ukierunkowane wykorzystanie kilku CVE po stronie platformy — to kontekst dla harmonogramu łatek u producentów.

Kontekst / historia / powiązania

Comiesięczne biuletyny MediaTek korelują z Android Security Bulletin (ASB). Partnerzy Androida otrzymują zgłoszenia z co najmniej miesięcznym wyprzedzeniem, a finalne „poziomy poprawek” (ang. patch levels) pozwalają producentom OEM zadeklarować zakres załatanych podatności. W grudniu 2025 r. Google utrzymuje podwójny poziom: 2025-12-01 oraz 2025-12-05.

Analiza techniczna / szczegóły luki

Zakres dotkniętych komponentów

• Modem (baseband): dominujące błędy to nieprzechwycone wyjątki (CWE-248), dereferencja wskaźnika NULL (CWE-476), osiągalne asercje (CWE-617) i błędy kontroli granic. Skutkują one głównie awarią systemu/komponentu przy przetwarzaniu niepoprawnych ramek/protokołów. Przykłady:
  • CVE-2025-20792 — Reachable assertion w modemie → możliwy crash systemu przez niewłaściwą walidację wejścia.
  • CVE-2025-20754 — uncaught exception wskutek błędu kontroli granic → DoS.
  • CVE-2025-20755, 20790 — NULL pointer dereference → awaria aplikacji/komponentu modemu.
• GPU pdma: CVE-2025-20789 — ujawnienie informacji przez wysyłane dane (CWE-201), opisane jako brak sprawdzenia granic, co może ujawniać fragmenty pamięci. NVD potwierdza rejestr tego CVE.

Wpływ na platformy/SoC
MediaTek listuje szeroką pulę układów z rodzin 67xx/68xx/69xx/79xx/86xx/87xx/88xx, w tym popularne układy dla telefonów średniej i wyższej klasy (np. MT6895/Dimensity 9000-series, MT6985/Dimensity 9300-series i inne). Lista różni się per-CVE; pełny wykaz SoC dla wszystkich wpisu znajduje się w biuletynie.

Praktyczne konsekwencje / ryzyko

• Atak powierzchnią radiową (baseband): wiele błędów w modemie można wyzwolić zdalnie w warstwie sieci komórkowej (np. przez złośliwie sformatowane komunikaty/procedury), co nie wymaga interakcji użytkownika. W typowym scenariuszu skutkiem jest DoS/soft-reboot telefonu, utrata połączeń lub reset stosu radiowego. (Wnioski na bazie kategorii błędów i opisów DoS).
• Ujawnienie informacji (GPU pdma): ryzyko wycieku fragmentów pamięci między procesami/komponentami graficznymi — zależne od kontekstu i konfiguracji sterowników.
• Brak dowodów na aktywne exploitowanie według MediaTek, ale ASB 12/2025 sygnalizuje, iż po stronie platformy Android niektóre CVE są wykorzystywane ukierunkowanie — to argument za szybkim aktualizowaniem urządzeń.

Rekomendacje operacyjne / co zrobić teraz

1. Aktualizacje OEM: wdrożyć najnowsze firmware dla urządzeń z układami MediaTek. Dla Androida priorytetem jest osiągnięcie poziomu poprawek 2025-12-05, który „zamyka” komplet biuletynu z grudnia.
2. Weryfikacja parku urządzeń: zmapować modele oparte na SoC z list w biuletynie i zaplanować rollout łatek (MDM/EMM), zaczynając od urządzeń o krytycznych rolach biznesowych i w środowiskach o wysokim ryzyku ekspozycji radiowej (np. podróże międzynarodowe, roaming).
3. Hardening radiowy (tymczasowe):
   • W razie opóźnień z łatkami rozważyć ograniczenie 2G/3G (o ile polityka firmowa na to pozwala) i utrzymywać preferencję LTE/NR; monitorować nietypowe restarty modemu.
   • Włączyć systemowe logowanie zdarzeń i telemetrię MDM pod kątem nagłych utrat zasięgu/restartów. (Najlepsze praktyki defensywne — brak oficjalnego mitigacji vendorowej poza aktualizacją).
4. Testy regresji: po aktualizacji wykonać testy połączeń (VoLTE/VoNR), roamingu, eSIM i obciążeniowe grafiki (dla GPU) pod kątem stabilności.
5. Procedury CSIRT/SOC: dodać sygnatury i reguły detekcji nietypowych restartów basebandu w EDR/telemetrii mobilnej oraz playbook do szybkiej izolacji urządzeń z powtarzalnymi crashami.

Różnice / porównania z innymi przypadkami

• W poprzednich cyklach (np. listopad 2025 w ASB) dominowały poprawki warstwy Framework/System; w grudniu 2025 r. akcent u MediaTek przesuwa się na baseband — co zwiększa znaczenie testów w warunkach sieci operatorów po aktualizacji.
• W odróżnieniu od krytycznych RCE w stosie aplikacyjnym zdarzających się w ASB, luki MediaTek w tym miesiącu to głównie DoS/ID na poziomie sterowników i firmware’u — mniejsza szansa na pełne przejęcie, ale większy wpływ na dostępność i stabilność łączności.

Podsumowanie / najważniejsze wnioski

• Zaktualizuj do patch level 2025-12-05 wszędzie, gdzie to możliwe.
• Baseband w centrum uwagi: spora liczba błędów w modemie → ryzyko zdalnego DoS i utraty usług komórkowych.
• Brak sygnałów o masowym exploitowaniu po stronie MediaTek, ale ogólny krajobraz Androida (ASB) potwierdza, iż część luk bywa celowana — nie zwlekaj z rolloutem.

Źródła / bibliografia

1. MediaTek — December 2025 Product Security Bulletin (opublikowano 1 grudnia 2025). (MediaTek)
2. Google AOSP — Android Security Bulletin — December 2025 (poziomy poprawek 2025-12-01 / 2025-12-05, sygnały o ograniczonym exploitowaniu). (Android Open Source Project)
3. NVD — CVE-2025-20789 (GPU pdma, ujawnienie informacji). (NVD)
4. NVD — CVE-2025-20770 (w pakiecie luk średnich MediaTek; rekord dodany do NVD). (NVD)