Thuairiscigh taighdeoirí ó fhoireann Google Project Zero gur aimsíodh 18 leochaileacht i modems Samsung Exynos 5G/LTE/GSM. Ceadaíonn na ceithre leochaileacht is contúirtí (CVE-2023-24033) cód a fhorghníomhú ag leibhéal sliseanna baseband trí ionramháil ó líonraí Idirlín seachtracha. De réir ionadaithe ó Google Project Zero, tar éis beagán taighde breise, beidh ionsaitheoirí cáilithe in ann dúshaothrú oibre a ullmhú go tapa a fhágann gur féidir rialú a fháil go cianda ar leibhéal an mhodúil gan sreang, gan fios acu ach uimhir theileafóin an íospartaigh. Is féidir leis an úsáideoir an t-ionsaí a dhéanamh gan aird agus ní gá dó aon ghníomh a dhéanamh.
Tá leibhéal déine níos ísle ag na 14 leochaileacht eile, ós rud é go n-éilíonn an ionsaí rochtain ar bhonneagar an oibreora líonra soghluaiste nó rochtain áitiúil ar fheiste an úsáideora. Cé is moite den leochaileacht CVE-2023-24033, réiteach a moladh i nuashonrú firmware an Mhárta le haghaidh feistí Google Pixel, tá na saincheisteanna fós gan réiteach. Is é an t-aon rud atá ar eolas faoin leochaileacht CVE-2023-24033 ná gur seiceáil mícheart ar fhormáid na haitreabúide “cineál glac” arna tharchur i dteachtaireachtaí SDP (Prótacal Cur Síos Seisiúin) is cúis leis.
Go dtí go socróidh monaróirí na leochaileachtaí, moltar d’úsáideoirí tacaíocht VoLTE (Guth-thar-LTE) agus an fheidhm glaonna trí Wi-Fi a dhíchumasú sna socruithe. Léiríonn leochaileachtaí iad féin i bhfeistí atá feistithe le sliseanna Exynos, mar shampla, ar fhóin chliste Samsung (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 agus A04), Vivo (S16, S15, S6, X70, X60 agus X30), Google Pixel (6 agus 7), chomh maith le gléasanna inchaite atá bunaithe ar an chipset Exynos W920 agus córais feithicleach leis an sliseanna Exynos Auto T5123.
Mar gheall ar chontúirt leochaileachtaí agus réalachas theacht chun cinn tapa dúshaothraithe, chinn Google eisceacht a dhéanamh do na 4 fhadhb is contúirtí agus nochtadh faisnéise faoi nádúr na bhfadhbanna a chur siar. Maidir leis an gcuid eile de na leochaileachtaí, leanfar an sceideal nochta sonraí 90 lá tar éis don mhonaróir a chur in iúl (faisnéis faoi leochaileachtaí CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 agus CVE -2023-26076 ar fáil cheana féin sa chóras rianaithe fabhtanna, agus maidir leis na 9 saincheist atá fágtha, níl an fanacht 90-lá imithe in éag fós). Na leochaileachtaí tuairiscithe CVE-2023-2607* is cúis le ró-shreabhadh maolánach nuair a dhéantar díchódú ar roghanna agus liostaí áirithe sna codecs NrmmMsgCodec agus NrSmPcoCodec.
Foinse: oscailtenet.ru