美国国土安全部旗下的电脑警备小组(US-CERT)于美国当地时间7月19日警告称，大量管理与连接全球移动网络的软件应用程序可能存在远程代码执行(RCE)漏洞，攻击者能利用漏洞控制关键设备。

　　提供ASN1C代码编译器的Objective Systems公司在一次安全审查后被曝存在安全漏洞CVE-2016-5080。该编译器是用来创建上述软件应用程序的工具之一。

　　漏洞只影响使用ASN1C编译的软件

　　抽象语法表达法1(ASN.1)是电信行业使用的数据结构和传输协议的一项国家标准。

　　ASN1C是由Objective Systems创建的应用程序。Objective Systems采用ASN.1数据结构、操作和指令创建并将其转换为C、 C++、 C#或Java代码，它可以嵌入应用程序和软件，这些应用程序和软件在部署有经典GSM或LTE网络的移动设备上运行。

　　Objective Systems表示，ASN1C 编译ASN.1代码为C和C++，致使所有应用存在漏洞。此漏洞是基于堆的缓冲区溢出漏洞，攻击者能利用此漏洞在受感染的系统远程执行代码，而无须设备认证。

　　并非所有厂商受影响

　　截至目前，Objective Systems表示，只有ASN1C的ASN.1-to-C和ASN.1-to C++功能受到影响，但该公司仍在调查ASN.1-to-C#和ASN.1-to-Java编译例程。

　　Objective Systems已经快速修复了ASN1C 7.0.1.x中的漏洞，计划接下来几周永久修复7.0.2中的漏洞。

　　该公司还通过US-CERT联系了34家移动运营商和设备厂商，告知它们漏洞的存在。

　　到现在为止，只有高通公司证实受此漏洞影响，而霍尼韦尔公司和惠普公司则表示它们未受影响。

(责任编辑：宋编辑)