MojAndroid
(x) hirdetés

A Project Zero, a Google hibavadász csapata 18 nulladik napi sebezhetőséget fedezett fel és jelentett a Samsung mobileszközökben, hordozható eszközökben és autókban használt Exynos chipsetjeiben. Az Exynos modemek biztonsági hibáit 2022 vége és 2023 eleje között jelentették. A tizennyolc sérülékenység közül négyet a legsúlyosabbnak minősítettek, amelyek távoli kódfuttatást tesznek lehetővé. Ezek lehetővé teszik a támadók számára, hogy távolról, felhasználói beavatkozás nélkül kompromittálják a sebezhető eszközöket.

Az alapsávszoftver nem ellenőrzi megfelelően az SDP által megadott accept-type attribútum formátumtípusait, ami szolgáltatásmegtagadáshoz vagy kódfuttatáshoz vezethet a Samsung alapsávmodemben

– írja a Samsung a CVE-2023-24033 sebezhetőséget leíró biztonsági közleményében.

Tim Willis, a Project Zero vezetője szerint a támadások kivitelezéséhez mindössze az áldozat telefonszáma szükséges.

Ami még rosszabbá teszi a helyzetet, hogy a tapasztalt támadók minimális további kutatással könnyen létrehozhatnak egy olyan exploitot, amely képes távolról kompromittálni a sebezhető eszközöket anélkül, hogy a célpontok figyelmét kiváltaná.

A hozzáférés szintjének nagyon ritka kombinációja miatt, amelyet ezek a sebezhetőségek biztosítanak, valamint a sebesség miatt, amellyel véleményünk szerint egy megbízható, működőképes exploitot lehetne készíteni, úgy döntöttünk, hogy irányelvi kivételt teszünk a négy sebezhetőség nyilvánosságra hozatalának késleltetése érdekében, amelyek lehetővé teszik a távoli kódfuttatást

– mondta Willis.

A fennmaradó 14 hiba (köztük a CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 és kilenc másik, CVE-ID-re váró hiba) nem annyira kritikus, de kockázatot jelentenek. A sikeres kihasználáshoz helyi hozzáférés vagy rosszindulatú mobilhálózat-üzemeltető szükséges.

Az érintett chipkészletek Samsung által rendelkezésre bocsátott listája alapján a következőket tartalmazza, de valószínűleg nem kizárólagosan:

  • Samsung mobilkészülékek, beleértve az S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 és A04 sorozatú készülékeket;
  • A Vivo mobilkészülékei, beleértve az S16, S15, S6, X70, X60 és X30 sorozatú készülékeket;
  • A Google Pixel 6 és Pixel 7 sorozatú készülékei;
  • az Exynos W920 lapkakészletet használó viselhető eszközök; és
  • az Exynos Auto T5123 lapkakészletet használó járművek.

Bár a Samsung már más gyártók számára is biztosította az érintett chipkészletek ezen sebezhetőségeit javító biztonsági frissítéseket, ezek nem nyilvánosak, és nem minden érintett felhasználó alkalmazhatja őket. Az egyes gyártók javítási ütemterve a készülékeikre vonatkozóan eltérő, de például a Google a márciusi 2023-as biztonsági frissítésekben már kezelte a CVE-2023-24033 hibákat az érintett Pixel készülékek esetében, amíg azonban a javítások nem állnak rendelkezésre, a felhasználók meghiúsíthatják a célzó RCE kihasználási kísérleteket a Wi-Fi hívások és a VoLTE letiltásával.

Mint mindig, most is arra biztatjuk a végfelhasználókat, hogy a lehető leghamarabb frissítsék készülékeiket, hogy biztosítsák, hogy eszközeik a legújabb szoftvereket használják, amelyek kijavítják a nyilvánosságra hozott és a nyilvánosságra nem hozott biztonsági réseket is

– tette hozzá Willis.

(via)

(x) hirdetés
2023.03.20.

Ezeket már olvastad?

+