Google ၏ Project Zero အဖွဲ့မှ သုတေသီများသည် Samsung Exynos 5G/LTE/GSM modem များတွင် အားနည်းချက် 18 ခုကို ရှာဖွေတွေ့ရှိခဲ့ကြောင်း အစီရင်ခံခဲ့သည်။ အန္တရာယ်အရှိဆုံး အားနည်းချက်လေးခု (CVE-2023-24033) သည် ပြင်ပအင်တာနက်ကွန်ရက်များမှ ကြိုးကိုင်ခြယ်လှယ်ခြင်းမှတစ်ဆင့် baseband ချစ်ပ်အဆင့်တွင် ကုဒ်လုပ်ဆောင်မှုကို ခွင့်ပြုပါသည်။ Google Project Zero ကိုယ်စားလှယ်များ၏ အဆိုအရ ကျွမ်းကျင်သော တိုက်ခိုက်သူများသည် သားကောင်၏ ဖုန်းနံပါတ်ကိုသာ သိရှိပြီး ကြိုးမဲ့ module ၏ အဝေးထိန်းခလုတ်ကို လျင်မြန်စွာ ထိန်းချုပ်နိုင်စေမည့် ကျွမ်းကျင်သော တိုက်ခိုက်သူများသည် လျင်မြန်စွာ တီထွင်ဖန်တီးနိုင်ခဲ့ကြောင်း Project Zero ကိုယ်စားလှယ်များ၏ ပြောကြားချက်အရ သိရသည်။ တိုက်ခိုက်မှုကို ထောက်လှမ်းခြင်းမရှိဘဲ လုပ်ဆောင်နိုင်ပြီး အသုံးပြုသူအတွက် မည်သည့်လုပ်ဆောင်ချက်မျှ မလိုအပ်ပါ။
တိုက်ခိုက်မှုသည် မိုဘိုင်းအော်ပရေတာ၏ အခြေခံအဆောက်အဦ သို့မဟုတ် အသုံးပြုသူ၏စက်ပစ္စည်းသို့ ဒေသတွင်းဝင်ရောက်ခွင့် လိုအပ်သောကြောင့် ကျန်ရှိသော အားနည်းချက် 14 ခုကို ပြင်းထန်မှုနည်းသည်ဟု ယူဆပါသည်။ အားနည်းချက် CVE-2023-24033 မှလွဲ၍ Google Pixel စက်ပစ္စည်းများအတွက် မတ်လ firmware အပ်ဒိတ်တွင်ထွက်ရှိခဲ့သော ပြုပြင်မှုများကြောင့် ပြဿနာများသည် ဖာထေးခြင်းမပြုလုပ်ရသေးပါ။ CVE-2023-24033 ၏ တစ်ခုတည်းသော သိထားသည့် အချက်အလက်မှာ SDP (Session Description Protocol) မက်ဆေ့ချ်များတွင် ပေးပို့သော "accept-type" attribute format ကို မမှန်မကန် အတည်ပြုခြင်းကြောင့် ဖြစ်ပေါ်လာရခြင်း ဖြစ်သည်။
အားနည်းချက်များကို ထုတ်လုပ်သူများက မဖြေရှင်းမချင်း သုံးစွဲသူများအား VoLTE (Voice-over-LTE) ပံ့ပိုးမှုနှင့် ၎င်းတို့၏ဆက်တင်များတွင် Wi-Fi ခေါ်ဆိုခြင်းကို ပိတ်ရန် အကြံပြုထားသည်။ အားနည်းချက်များသည် Samsung စမတ်ဖုန်းများ (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12, နှင့် A04), Vivo စမတ်ဖုန်းများ (S16, S15, S6, X70, X60, နှင့် X30), နှင့် Google Pixel ဖုန်းများကဲ့သို့ Exynos ကိရိယာများကဲ့သို့ Exynos စမတ်ဖုန်းများကဲ့သို့ Exynos ချစ်ပ်များ တပ်ဆင်ထားသည့် အားနည်းချက်များ သက်ရောက်မှုရှိသည်။ W920 ချစ်ပ်ဆက်နှင့် Exynos Auto T5123 ချစ်ပ်ဖြင့် မော်တော်ကားစနစ်များ။
အားနည်းချက်များ၏ ပြင်းထန်မှုနှင့် အမြတ်ထုတ်မှုများ လျင်မြန်စွာ ပေါ်ထွက်နိုင်ခြေများကြောင့် Google သည် မူဝါဒဆိုင်ရာ အလေးအနက်ထားဆုံး ပြဿနာလေးခု၏ အသေးစိတ်အချက်အလက်များကို ထုတ်ပြန်ခြင်းကို ရွှေ့ဆိုင်းရန် ဆုံးဖြတ်ခဲ့သည်။ ရောင်းချသူ အကြောင်းကြားချက် ပြီးနောက် ကျန်ရှိသော အားနည်းချက်များကို ရက် 90 ရက်ကြာ ဖြန့်ချိမည့်အချိန်ဇယားတွင် ထုတ်ပြန်သွားပါမည် (CVE-2023-26072၊ CVE-2023-26073၊ CVE-2023-26074၊ CVE-2023-26075၊ နှင့် CVE-2023-2607 တွင် ကျန်ရှိနေသော စနစ် 9 တွင် ရနိုင်သော ပြဿနာများ ရှိနှင့်ပြီးသားဖြစ်သည်၊ သက်တမ်းမကုန်သေးပါ။) NrmmMsgCodec နှင့် NrSmPcoCodec ကုဒ်ဒက်ခ်များရှိ အချို့သောရွေးချယ်မှုများနှင့် စာရင်းများကို ကုဒ်ဒစ်လုပ်သောအခါတွင် မှတ်သားထားသော အားနည်းချက်များ CVE-2023-2607* သည် ကြားခံအလျှံအပယ်ကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။
source: opennet.ru
