Google Project Zero багийн судлаачид Samsung Exynos 18G/LTE/GSM модемуудын 5 сул талыг илрүүлсэн тухай мэдээлсэн. Хамгийн аюултай дөрвөн эмзэг байдал (CVE-2023-24033) нь гадны интернет сүлжээнүүдийн тусламжтайгаар үндсэн зурвасын чипийн түвшинд код гүйцэтгэх боломжийг олгодог. Google Project Zero-ийн төлөөлөгчдийн хэлснээр, бага зэрэг нэмэлт судалгаа хийсний дараа чадварлаг халдлага үйлдэгчид зөвхөн хохирогчийн утасны дугаарыг мэдэж, утасгүй модулийн түвшинд алсаас хяналт тавих боломжтой ажиллах эксплойтийг хурдан бэлтгэх боломжтой болно. Халдлагыг хэрэглэгч анзааралгүйгээр хийж болох бөгөөд түүнээс ямар нэгэн үйлдэл хийхийг шаарддаггүй.
Халдлага нь үүрэн холбооны операторын дэд бүтцэд хандах эсвэл хэрэглэгчийн төхөөрөмжид дотоод хандалт хийх шаардлагатай байдаг тул үлдсэн 14 эмзэг байдлын ноцтой байдлын түвшин доогуур байна. Google Pixel төхөөрөмжүүдэд зориулсан 2023-р сарын программ хангамжийн шинэчлэлтэнд засвар хийгдсэн CVE-24033-2023-аас бусад асуудлууд засварлагдаагүй хэвээр байна. CVE-24033-XNUMX-ийн эмзэг байдлын талаар мэдэгдэж байгаа зүйл бол SDP (Session Description Protocol) мессежүүдэд дамжуулагдсан "хүлээн авах төрлийн" шинж чанарын форматыг буруу шалгаснаас үүдэлтэй юм.
Эмзэг байдлыг үйлдвэрлэгчид засах хүртэл хэрэглэгчдэд VoLTE (Voice-over-LTE) дэмжлэг болон тохиргооноос Wi-Fi дуудлагын функцийг идэвхгүй болгохыг зөвлөж байна. Сул талууд нь Exynos чипээр тоноглогдсон төхөөрөмжүүдэд, жишээлбэл, Samsung ухаалаг гар утас (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 ба A04), Vivo (S16, S15, S6, X70, X60 ба X30), Google Pixel (6 ба 7), мөн Exynos W920 чипсет бүхий элэгддэг төхөөрөмжүүд болон Exynos Auto T5123 чиптэй автомашины системүүд.
Эмзэг байдлын аюул, мөлжлөг хурдан гарч ирэх бодит байдлаас шалтгаалан Google хамгийн аюултай 4 асуудлын дүрмээс үл хамаарах зүйл хийж, асуудлын мөн чанарын талаарх мэдээллийг задруулахыг хойшлуулахаар шийдсэн. Үлдсэн эмзэг байдлын талаар үйлдвэрлэгчийн мэдэгдлээс хойш 90 хоногийн дараа дэлгэрэнгүй мэдээлэх болно (эмзэг байдлын талаарх мэдээлэл CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023 аль хэдийн бэлэн байна. алдаа хянах системд байгаа бөгөөд үлдсэн 26076 асуудалд 9 хоногийн хүлээлгийн хугацаа хараахан дуусаагүй байна). Мэдээлсэн CVE-90-2023* эмзэг байдал нь NrmmMsgCodec болон NrSmPcoCodec кодлогч дахь зарим сонголт, жагсаалтыг тайлах үед буфер хэт ихэссэнээс үүсдэг.
Эх сурвалж: opennet.ru