三星 Exynos 芯片组爆出18个零日漏洞,影响多款产品
2023-3-17 13:38:25 Author: www.freebuf.com(查看原文) 阅读量:9 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Bleeping Computer 网站披露,谷歌 Project Zero 安全团队在三星用于移动设备、可穿戴设备和汽车的Exynos 芯片组中发现了 18 个漏洞,包括 Pixel 6 系列、Pixel 7 系列、三星 Galaxy S22 系列和 Galaxy A53 等产品均受影响。1679031561_6413fd098b66392567332.png!small

Exynos 芯片组中的安全漏洞发生在 2022 年末至 2023 年初,其中四个被评为高危漏洞,允许攻击者从互联网到基带执行远程代码。这些互联网到基带远程代码执行(RCE)漏洞(包括 CVE-2023-24033 和其它三个仍在等待 CVE-ID的漏洞)允许攻击者在没有任何用户交互的情况下,远程危害易受攻击的设备。

三星在一份描述 CVE-2023-24033 漏洞的安全咨询中表示,基带软件没有正确检查 SDP 指定接受的格式类型,可能导致三星基带调制解调器中的拒绝服务或代码执行。

Project Zero 安全团队负责人 Tim Willis 指出,潜在攻击者只要有受害者的电话号码,就可以发动袭击。更糟糕的是,只要稍微认真研究一下,经验丰富的攻击者便可以在不引起目标注意的情况下,轻而易举的利用漏洞远程攻击易受攻击的设备。

其余 14个 漏洞主要包括 CVE-2023-24072、CVE-2023-204073、CVE-202 3-24074、CVE-2022 3-24075、CVE-2020 3-24076 以及其它 9 个等待 CVE ID 的漏洞,虽然这些漏洞不会造成很严重的后果,但仍存在安全风险。

受影响设备列表包括但不限于:

三星的移动设备,包括 S22、M33、M13、M12、A71、A53、A33、A21、A13、A12 和 A04 系列。

Vivo 的移动设备,包括 S16、S15、S6、X70、X60 和 X30 系列。

谷歌的 Pixel 6 和 Pixel 7 系列设备。

任何使用 Exynos W920 芯片组的可穿戴设备。

以及任何使用 Exynos Auto T5123 芯片组的车辆。

受影响设备可采取的解决方法

目前,虽然三星已经向其它厂商提供了漏洞安全更新,但这些补丁并不对所有用户公开。此外,每个制造商对其设备打补丁的时间表也有所不同,例如,谷歌已经在 2023 年 3 月的安全更新中针对受影响的 Pixel 设备解决了 CVE-2023-24033 问题。1679031715_6413fda30d4968811fe37.png!small?1679031715412

好消息是,在安全补丁可用之前,用户可以通过禁用 Wi-Fi 呼叫和 Vo-over-LTE(VoLTE)来消除攻击媒介,从而挫败针对其设备中的三星 Exynos 芯片组的基带 RCE 利用尝试。

参考文章:

https://www.bleepingcomputer.com/news/security/google-finds-18-zero-day-vulnerabilities-in-samsung-exynos-chipsets/


文章来源: https://www.freebuf.com/news/360767.html
如有侵权请联系:admin#unsafe.sh