د ګوګل د پروژې زیرو ټیم څېړونکو د سامسنګ ایکسینوس 5G/LTE/GSM موډیمونو کې د 18 زیان منونکو کشف راپور ورکړ. څلور خورا خطرناک زیان منونکي (CVE-2023-24033) د بهرني انټرنیټ شبکو څخه د لاسوهنې له لارې د بیس بینډ چپ په کچه د کوډ اجرا کولو ته اجازه ورکوي. د ګوګل پروژې زیرو استازو په وینا، د لږ اضافي څیړنې سره، ماهر برید کونکي کولی شي په چټکۍ سره یو کاري استحصال رامینځته کړي چې د بېسیم ماډل ریموټ کنټرول ته اجازه ورکړي، یوازې د قرباني د تلیفون شمیره پوهیږي. برید پرته له کشف څخه ترسره کیدی شي او د کارونکي هیڅ عمل ته اړتیا نلري.
پاتې ۱۴ زیان منونکي د ټیټ شدت په توګه ګڼل کیږي ځکه چې برید د ګرځنده چلونکي زیربنا ته لاسرسی یا د کارونکي وسیلې ته محلي لاسرسي ته اړتیا لري. د زیان منونکي CVE-2023-24033 استثنا سره، چې د ګوګل پکسل وسیلو لپاره د مارچ په فرم ویئر تازه کې خپور شوی و، مسلې بې پیچ پاتې دي. د CVE-2023-24033 په اړه یوازینۍ پیژندل شوې معلومات دا دي چې دا د SDP (د غونډې توضیحاتو پروتوکول) پیغامونو کې لیږدول شوي "منلو ډول" ځانګړتیا فارمیټ غلط تایید له امله رامینځته کیږي.
تر هغه چې د جوړونکو لخوا زیانونه حل نشي، کاروونکو ته مشوره ورکول کیږي چې د VoLTE (وائس-اوور-LTE) ملاتړ او د وای فای زنګ وهل په خپلو ترتیباتو کې غیر فعال کړي. زیانونه د Exynos چپس سره سمبال شوي وسیلو باندې اغیزه کوي، لکه د سامسنګ سمارټ فونونه (S22، M33، M13، M12، A71، A53، A33، A21، A13، A12، او A04)، Vivo سمارټ فونونه (S16، S15، S6، X70، X60، او X30)، د ګوګل پکسل سمارټ فونونه (6 او 7)، او همدارنګه د Exynos W920 چپسیټ سره د اغوستلو وړ وسایل او د Exynos Auto T5123 چپ سره د موټرو سیسټمونه.
د زیان منونکو د شدت او د استحصال د چټک څرګندیدو احتمال له امله، ګوګل پریکړه کړې چې د پالیسۍ د څلورو خورا جدي مسلو توضیحات افشا کول وځنډوي. پاتې زیان منونکي به د پلورونکي خبرتیا وروسته د 90 ورځو د خپریدو مهالویش کې خپاره شي (د CVE-2023-26072، CVE-2023-26073، CVE-2023-26074، CVE-2023-26075، او CVE-2023-26076 په اړه معلومات دمخه د بګ تعقیب سیسټم کې شتون لري، او 9 پاتې مسلې لا پای ته نه دي رسیدلي). یاد شوي زیان منونکي CVE-2023-2607* د NrmmMsgCodec او NrSmPcoCodec کوډیکونو کې د ځینې اختیارونو او لیستونو ډیکوډ کولو پرمهال د بفر اوور فلو له امله رامینځته کیږي.
سرچینه: opennet.ru
