ProHoster > Blog > nouvèl sou entènèt > Vilnerabilite nan modil san fil Samsung Exynos eksplwate atravè entènèt la

Vilnerabilite nan modil san fil Samsung Exynos eksplwate atravè entènèt la

Chèchè nan ekip Google Project Zero rapòte dekouvèt 18 vilnerabilite nan modèm Samsung Exynos 5G/LTE/GSM. Kat vilnerabilite ki pi danjere yo (CVE-2023-24033) pèmèt ekzekisyon kòd nan nivo chip baseband atravè manipilasyon soti nan rezo Entènèt ekstèn. Dapre reprezantan Google Project Zero, apre yon ti rechèch adisyonèl, atakè ki kalifye yo pral kapab byen vit prepare yon eksplwatasyon k ap travay ki fè li posib yo pran kontwòl adistans nan nivo modil san fil, konnen sèlman nimewo telefòn viktim nan. Atak la ka te pote soti inapèsi pa itilizatè a epi li pa mande pou li fè okenn aksyon.

14 vilnerabilite ki rete yo gen yon nivo severite ki pi ba, depi atak la mande pou aksè nan enfrastrikti operatè rezo mobil la oswa aksè lokal nan aparèy itilizatè a. Eksepte vilnerabilite CVE-2023-24033, yon ranje ki te pwopoze nan aktyalizasyon firmwèr Mas la pou aparèy Google Pixel, pwoblèm yo rete san patch. Sèl bagay li te ye sou vilnerabilite CVE-2023-24033 se ke li se koze pa kòrèk tcheke fòma "aksepte-kalite" atribi transmèt nan mesaj SDP (Session Description Protocol).

Jiskaske manifaktirè yo fikse frajilite yo, itilizatè yo rekòmande pou enfim sipò VoLTE (Vwa-sou-LTE) ak fonksyon apèl la atravè Wi-Fi nan anviwònman yo. Vilnerabilite manifeste tèt yo nan aparèy ekipe ak chips Exynos, pou egzanp, nan smartphones Samsung (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 ak A04), Vivo (S16, S15, S6, X70, X60 ak X30), Google Pixel (6 ak 7), osi byen ke aparèy portable ki baze sou chipset Exynos W920 ak sistèm otomobil ak chip Exynos Auto T5123.

Akòz danje frajilite yo ak réalisme aparisyon rapid nan yon eksplwatasyon, Google deside fè yon eksepsyon pou 4 pwoblèm ki pi danjere yo ak ranvwaye divilgasyon enfòmasyon sou nati pwoblèm yo. Pou rès vilnerabilite yo, yo pral swiv orè pou divilgasyon detay yo 90 jou apre yo fin notifye manifakti a (enfòmasyon sou frajilite CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 ak CVE). -2023-26076 deja disponib nan sistèm swiv ensèk, epi pou 9 pwoblèm ki rete yo, tann 90 jou a poko ekspire). Vulnerabilite yo rapòte CVE-2023-2607* yo te koze pa yon debòde tanpon lè yo dekode sèten opsyon ak lis nan kodèk NrmmMsgCodec ak NrSmPcoCodec.

Sous: opennet.ru

Add nouvo kòmantè