Ua hōʻike nā mea noiʻi mai ka hui Google Project Zero i ka loaʻa ʻana o 18 mau nāwaliwali ma Samsung Exynos 5G/LTE/GSM modems. ʻEhā mau haʻahaʻa weliweli loa (CVE-2023-24033) e ʻae i ka hoʻokō code ma ka pae baseband chip ma o ka hoʻopunipuni ʻana mai nā pūnaewele pūnaewele waho. Wahi a nā ʻelele o Google Project Zero, ma hope o kahi noiʻi hou aʻe, hiki i ka poʻe hoʻouka kaua ke hoʻomākaukau koke i kahi hana hana e hiki ai ke loaʻa ka mana ma ka pae o ka module wireless, me ka ʻike wale i ka helu kelepona o ka mea i pepehi ʻia. Hiki ke hana ʻia ka hoʻouka kaua me ka ʻike ʻole ʻia e ka mea hoʻohana a ʻaʻole koi iā ia e hana i kekahi hana.
He haʻahaʻa haʻahaʻa ka haʻahaʻa haʻahaʻa o ke koena o 14 mau nāwaliwali, no ka mea, pono ka hoʻouka ʻana i ke komo ʻana i ka ʻōnaehana o ka mea hoʻohana pūnaewele kelepona a i ʻole ke komo kūloko i ka mea hoʻohana. Me ka ʻokoʻa o ka nāwaliwali o CVE-2023-24033, kahi hoʻoponopono i manaʻo ʻia i ka hoʻoponopono firmware o Malaki no nā polokalamu Google Pixel, ʻaʻole i hoʻopaʻa ʻia nā pilikia. ʻO ka mea wale nō i ʻike ʻia e pili ana i ka nāwaliwali o CVE-2023-24033 ʻo ia ke kumu o ka nānā hewa ʻana i ke ʻano o ke ʻano "accept-type" i hoʻouna ʻia i nā memo SDP (Session Description Protocol).
A hiki i ka hoʻopaʻa ʻia ʻana o nā nāwaliwali e nā mea hana, ʻōlelo ʻia nā mea hoʻohana e hoʻopau i ke kākoʻo VoLTE (Voice-over-LTE) a me ka hana kelepona ma o Wi-Fi i nā hoʻonohonoho. Hōʻike nā vulnerabilities iā lākou iho i nā polokalamu i hoʻolako ʻia me nā pahu Exynos, no ka laʻana, i nā kelepona Samsung (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 a me A04), Vivo (S16, S15, S6, X70, X60 a me X30), Google Pixel (6 a me 7), a me nā mea hiki ke hoʻohana ʻia e pili ana i ka chipset Exynos W920 a me nā ʻōnaehana automotive me ka pahu Exynos Auto T5123.
Ma muli o ka pilikia o nā nāwaliwali a me ka ʻoiaʻiʻo o ka wikiwiki o ka hoʻohana ʻana, ua hoʻoholo ʻo Google e hana i kahi ʻokoʻa no nā pilikia koʻikoʻi 4 a hoʻopanee i ka hōʻike ʻana i ka ʻike e pili ana i ke ʻano o nā pilikia. No ke koena o nā haʻahaʻa, e hahai ʻia ka papa kuhikuhi kikoʻī i nā lā 90 ma hope o ka hoʻolaha ʻana o ka mea hana (ka ʻike e pili ana i nā nāwaliwali CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 a me CVE-2023-26076. Loaʻa ka -9-90 i ka ʻōnaehana hoʻopaʻa ʻana i ka bug, a no nā pilikia 2023 i koe, ʻaʻole i pau ka kali ʻana he 2607 lā). ʻO nā haʻahaʻa i hōʻike ʻia ʻo CVE-XNUMX-XNUMX* ma muli o ke kahe ʻana o ka buffer i ka wā e hoʻololi ai i kekahi mau koho a me nā papa inoa ma nā codec NrmmMsgCodec a me NrSmPcoCodec.
Source: opennet.ru