谷歌內部團隊Project Zero長期以來致力于發現和修補移動硬件、軟件、網絡瀏覽器和開源庫中的零日漏洞,日前該團隊披露了search 三星Exynos芯片組中的一系列漏洞,這些漏洞廣泛應用于各種移動設備。

根據該團隊分析,其中四個嚴重漏洞允許互聯網到基帶的遠程代碼執行,測試證實,攻擊者可以僅使用受害者的電話號碼在基帶級別破壞手機。他們認為,只要具備足夠的技能,攻擊者就可以完全悄無聲息地遠程利用這些漏洞。

由于主要的四個關鍵漏洞的嚴重性,項目組推遲了對漏洞利用工作原理的全面披露,表示由于這些漏洞提供的訪問級別的組合非常罕見,而且其評估可以制作可靠的操作漏洞利用的速度,決定做出政策例外,以延遲披露允許Internet到基帶遠程代碼執行的細節。

雖然補丁時間表因制造商而異,但谷歌2023年3月的安全更新修補了某些search Pixel 6和Pixel 7設備中最嚴重的CVE-2023-24033漏洞,但許多設備仍然容易受到報告中部分或所有漏洞的攻擊。設備包括:

search 三星移動設備如S22、M33、M13、M12、A71、A53、A33、A21、A13、A12、A04系列

來自vivo的移動設備,包括S16、S15、S6、X70、X60和X30系列

search Google Pixelsearch Pixel 6 和 Pixel 7 系列設備

任何使用Exynos W920芯片組的可穿戴設備

任何使用Exynos Auto T5123芯片組的車輛

研究人員還建議,擁有受影響設備并正在等待安全補丁的用戶可以通過在其設備設置中禁用Wi-Fi呼叫和LTE 語音 (VoLTE)來降低主要基帶遠程代碼執行漏洞的風險。

黑客 軟件 網絡安全 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接