全球GSM和LTE移动网络存在严重安全漏洞

提供ASN1C代码编译器的Objective Systems公司在一次安全审查后被曝存在安全漏洞CVE-2016-5080。该编译器是用来创建上述软件应用程序的工具之一。

漏洞只影响使用ASN1C编译的软件

抽象语法表达法1（ASN.1）是电信行业使用的数据结构和传输协议的一项国家标准。

ASN1C是由Objective Systems创建的应用程序。Objective Systems采用ASN.1数据结构、操作和指令创建并将其转换为C、 C++、 C#或Java代码，它可以嵌入应用程序和软件，这些应用程序和软件在部署有经典GSM或LTE网络的移动设备上运行。

Objective Systems表示，ASN1C 编译ASN.1代码为C和C++，致使所有应用存在漏洞。此漏洞是基于堆的缓冲区溢出漏洞，攻击者能利用此漏洞在受感染的系统远程执行代码，而无须设备认证。

并非所有厂商受影响

截至目前，Objective Systems表示，只有ASN1C的ASN.1-to-C和ASN.1-to C++功能受到影响，但该公司仍在调查ASN.1-to-C#和ASN.1-to-Java编译例程。

Objective Systems已经快速修复了ASN1C 7.0.1.x中的漏洞，计划接下来几周永久修复7.0.2中的漏洞。

该公司还通过US-CERT联系了34家移动运营商和设备厂商，告知它们漏洞的存在。

到现在为止，只有高通公司证实受此漏洞影响，而霍尼韦尔公司和惠普公司则表示它们未受影响。