Google Project Zero အဖွဲ့မှ သုတေသီများသည် Samsung Exynos 18G/LTE/GSM modems တွင် အားနည်းချက် ၁၈ ခုကို ဖော်ထုတ်နိုင်ခဲ့ကြောင်း အစီရင်ခံခဲ့သည်။ အန္တရာယ်အရှိဆုံး အားနည်းချက်လေးခု (CVE-5-2023) သည် ပြင်ပအင်တာနက်ကွန်ရက်များမှ ကြိုးကိုင်ခြယ်လှယ်ခြင်းမှတစ်ဆင့် baseband ချစ်ပ်အဆင့်တွင် ကုဒ်လုပ်ဆောင်မှုကို ခွင့်ပြုပါသည်။ Google Project Zero ၏ ကိုယ်စားလှယ်များ၏ အဆိုအရ၊ နောက်ထပ် သုတေသန အနည်းငယ် ပြုလုပ်ပြီးနောက်၊ ကျွမ်းကျင်သော တိုက်ခိုက်သူများသည် သားကောင်၏ ဖုန်းနံပါတ်ကိုသာ သိရှိပြီး ကြိုးမဲ့ မော်ဂျူးအဆင့်တွင် အဝေးထိန်းစနစ်ဖြင့် ထိန်းချုပ်မှုကို ရရှိစေမည့် အလုပ်သုံး exploit ကို လျင်မြန်စွာ ပြင်ဆင်နိုင်မည်ဖြစ်သည်။ တိုက်ခိုက်မှုကို သုံးစွဲသူက သတိမပြုမိဘဲ လုပ်ဆောင်နိုင်ပြီး မည်သည့်လုပ်ဆောင်ချက်မှ လုပ်ဆောင်ရန် မလိုအပ်ပါ။
တိုက်ခိုက်မှုတွင် မိုဘိုင်းကွန်ရက်အော်ပရေတာ၏ အခြေခံအဆောက်အဦ သို့မဟုတ် အသုံးပြုသူ၏စက်သို့ ဒေသတွင်းဝင်ရောက်ခွင့် လိုအပ်သောကြောင့် ကျန်ရှိသော အားနည်းချက် 14 ခုသည် ပြင်းထန်မှုအဆင့်နိမ့်ပါသည်။ Google Pixel စက်ပစ္စည်းများအတွက် မတ်လ firmware အပ်ဒိတ်တွင် ဖာထေးထားသည့် CVE-2023-24033 မှလွဲ၍ ပြဿနာများသည် ဖာထေးခြင်းမပြုလုပ်ရသေးပါ။ CVE-2023-24033 အားနည်းချက်အကြောင်း သိထားသည့်အရာအားလုံးမှာ SDP (Session Description Protocol) မက်ဆေ့ချ်များတွင် ပေးပို့သော “accept-type” attribute ဖော်မတ်၏ မှားယွင်းစွာ စစ်ဆေးမှုကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။
ထုတ်လုပ်သူများအနေဖြင့် အားနည်းချက်များကို မဖြေရှင်းမချင်း သုံးစွဲသူများအား VoLTE (Voice-over-LTE) ပံ့ပိုးမှုနှင့် ဆက်တင်များရှိ Wi-Fi ခေါ်ဆိုမှုလုပ်ဆောင်ချက်ကို ပိတ်ရန် အကြံပြုအပ်ပါသည်။ Samsung စမတ်ဖုန်းများ (S22၊ M33၊ M13၊ M12၊ A71၊ A53၊ A33၊ A21၊ A13၊ A12 နှင့် A04)၊ Vivo (S16၊ S15၊ S6၊ X70၊ X60 နှင့် X30)၊ Google Pixel (6 နှင့် 7) တို့အပြင် Exynos W920 ချစ်ပ်ဆက်နှင့် Exynos Auto T5123 ချစ်ပ်ပါရှိသော မော်တော်ယာဥ်စနစ်များနှင့် ဝတ်ဆင်နိုင်သော ကိရိယာများ။
အားနည်းချက်များ၏အန္တရာယ်နှင့် exploit များ လျင်မြန်စွာပေါ်ပေါက်လာမှု၏အဖြစ်မှန်ကြောင့် Google သည် အန္တရာယ်အရှိဆုံးပြဿနာ 4 ခုအတွက် စည်းမျဉ်းကိုခြွင်းချက်တစ်ခုပြုလုပ်ရန် ဆုံးဖြတ်ခဲ့ပြီး ပြဿနာများ၏သဘောသဘာဝနှင့်ပတ်သက်သောအချက်အလက်များကို ထုတ်ဖော်မှုကို နှောင့်နှေးစေခဲ့သည်။ ကျန်ရှိသော အားနည်းချက်များအတွက်၊ ရောင်းချသူအား အကြောင်းကြားပြီးနောက် ရက်ပေါင်း 90 တွင် အသေးစိတ်အချက်အလက်များကို ထုတ်ဖော်ပါမည် (အားနည်းချက်များဆိုင်ရာ အချက်အလက် CVE-2023-26072၊ CVE-2023-26073၊ CVE-2023-26074၊ CVE-2023-26075 နှင့် CVE-2023-26076 ရရှိနိုင်ပြီးဖြစ်သည်။ bug ခြေရာခံခြင်းစနစ်တွင်၊ ကျန်ပြဿနာ 9 ခုအတွက် ရက် 90 စောင့်ဆိုင်းကာလသည် မကုန်ဆုံးသေးပါ။) CVE-2023-2607* သည် NrmmMsgCodec နှင့် NrSmPcoCodec ကုဒ်ဒက်ခ်များရှိ အချို့သောရွေးချယ်မှုများနှင့် စာရင်းများကို ကုဒ်ဒိတ်လုပ်သည့်အခါ ကြားခံအလျှံပယ်ကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။
source: opennet.ru