Jungle Software Development Kit (SDK)

Die Schwachstelle betrifft das Realtek Jungle SDK, eine Entwicklungsbasis für Geräte mit Realtek-Chips. Sie steckt in einem mitgelieferten Diagnosewerkzeug, dem sogenannten MP Daemon, das üblicherweise als ausführbares Programm namens UDPServer eingesetzt wird. Dieses Programm enthält gleich mehrere Speicherfehler (Memory Corruption) sowie eine Schwachstelle, über die sich beliebige Systembefehle einschleusen lassen. Ausnutzen lässt sich das aus der Ferne und ohne vorherige Anmeldung: Ein unauthentifizierter Angreifer kann über das Netzwerk eigenen Programmcode auf dem betroffenen Gerät zur Ausführung bringen und es so übernehmen. Da das SDK die Software-Grundlage einer Vielzahl von Geräten unterschiedlicher Hersteller bildet, ist potenziell eine große und breit gestreute Gerätebasis betroffen – häufig Netzwerk- und IoT-Geräte, die direkt erreichbar sind und den verwundbaren Dienst exponieren.