三星Exynos芯片集中發現18個0 day漏洞，影響三星、vivo設備

谷歌研究人員在三星Exynos芯片集中發現18個0 day漏洞。

漏洞概述

谷歌Project Zero安全研究人員在三星Exynos芯片集中發現18個0 day漏洞，影響手機、可穿戴設備和汽車等電子設備。

這18個漏洞是在2022年底到2023年初發現和報告的。其中4個漏洞最為嚴重，可以實現互聯網到基帶的遠程代碼執行。其中一個漏洞已取得CVE編號（CVE-2023-24033），其他漏洞正在等待編號分配。攻擊者利用漏洞可以在沒有任何用戶交互的情況下遠程入侵有漏洞的設備。CVE-2023-24033漏洞產生的原因是基帶軟件未適當檢查SDP中指定的accept類型屬性的格式類型，可能會引發基帶的DoS或代碼執行。其余3個漏洞由于尚未修復，因此研究人員決定暫不公開漏洞細節。

其他14個漏洞中有5個取得了CVE編號，分別是CVE-2023-24072、CVE-2023-24073、CVE-2023-24074、CVE-2023-24075和CVE-2023-24076。這些漏洞的利用需要有本地訪問權限或由惡意網絡運營商發起，因此利用的難度較高。

漏洞影響

受影響的設備包括：

三星手機設備：S22、M33、M13、M12、 A71、A53、A33、A21、A13、A12 和A04 系列；

Vivo手機設備：S16、S15、S6、X70、X60 和 X30系列；

谷歌手機設備：Pixel 6和Pixel 7系列；

使用Exynos W920芯片集的可穿戴設備；

使用Exynos Auto T5123芯片集的車輛。

漏洞補丁

三星已經為相關廠商提供了修復漏洞的安全更新，但補丁信息未公開。具體設備的補丁修復時間與具體廠商有關，比如谷歌已在2023年3月的安全更新中發布了Pixel設備的安全補丁。

谷歌和三星確認用戶可以禁用WiFi電話和VoLTE的方式來避免受到攻擊的影響。此外，谷歌研究人員建議用戶在補丁發布后盡快安裝。