根據GitHub的一份報告,大眾汽車Discover Media信息娛樂系統的漏洞是在2023年2月28日發現的。

該漏洞可能會使未打補丁的系統遭到拒絕服務(DoS)攻擊。該漏洞起初是由大眾汽車的用戶發現的,隨后大眾汽車方面確認了該漏洞,漏洞的標識為CVE-2023-34733。

關于漏洞詳情

根據GitHub的報告,發現并報告該漏洞的人所使用的車型是大眾捷達2021。根據NIST的報告,該漏洞的評分是6.8,是一個中等嚴重漏洞。

起初該用戶將他的筆記本電腦連接到大眾汽車的USB端口,并用模糊器生成媒體文件。隨后進行模糊測試,以找出大眾汽車媒體系統的漏洞。該實驗是在包括MP3、WMA、WAV等媒體文件上進行的。

該用戶在GitHub上寫道,"由于大眾汽車的媒體播放器比預期的更強大,我專門為大眾汽車的信息娛樂系統創建了一個單獨的媒體文件模糊器。我每天模糊處理2萬多個媒體文件,經過一天的模糊測試,發現了OGG文件的漏洞"。

然后通過模糊測試識別了一個媒體文件,導致大眾汽車媒體系統中的漏洞被觸發。這也導致了大眾汽車信息娛樂系統在關閉后無法打開。

當USB插入端口時,媒體文件會自動播放,信息娛樂系統會被強行終止,這個現象可以通過手動重啟大眾汽車信息娛樂系統來解決。

據觀察,該漏洞可能導致遠程代碼執行等安全問題。

大眾汽車對該漏洞的回應

該漏洞是在大眾汽車媒體信息娛樂系統軟件版本0876中發現的。在收到用戶的這份報告后,德國汽車巨頭對該漏洞進行了確認。

大眾汽車給用戶的回復截圖(照片:GitHub)

該公司讓其事件響應小組分析了大眾汽車信息娛樂系統的漏洞,后來又讓研發部門分析了這個漏洞。隨后他們向上述電子郵件截圖中名為 "zj3t "的用戶確認了該漏洞,并表示該漏洞是一個產品質量的問題,會及時改進。

漏洞 拒絕服務
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接