ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > සැම්සුන් එක්සයිනොස් රැහැන් රහිත මොඩියුලවල අවදානම අන්තර්ජාලය හරහා සූරාකෑම

සැම්සුන් එක්සයිනොස් රැහැන් රහිත මොඩියුලවල අවදානම අන්තර්ජාලය හරහා සූරාකෑම

Google Project Zero කණ්ඩායමේ පර්යේෂකයන් Samsung Exynos 18G/LTE/GSM මොඩම වල දුර්වලතා 5ක් සොයා ගැනීම වාර්තා කරන ලදී. වඩාත්ම භයානක දුර්වලතා හතර (CVE-2023-24033) බාහිර අන්තර්ජාල ජාල වලින් හැසිරවීම හරහා බේස්බෑන්ඩ් චිප් මට්ටමින් කේත ක්‍රියාත්මක කිරීමට ඉඩ දෙයි. ගූගල් ප්‍රොජෙක්ට් සීරෝ හි නියෝජිතයින්ට අනුව, කුඩා අමතර පර්යේෂණයකින් පසුව, සුදුසුකම් ලත් ප්‍රහාරකයන්ට ඉක්මනින් වැඩ සූරාකෑමක් සකස් කිරීමට හැකි වන අතර එමඟින් වින්දිතයාගේ දුරකථන අංකය පමණක් දැන රැහැන් රහිත මොඩියුල මට්ටමින් දුරස්ථව පාලනය ලබා ගත හැකිය. ප්‍රහාරය පරිශීලකයාගේ අවධානයට ලක් නොවී සිදු කළ හැකි අතර ඔහුට කිසිදු ක්‍රියාවක් කිරීමට අවශ්‍ය නොවේ.

ප්‍රහාරයට ජංගම ජාල ක්‍රියාකරුගේ යටිතල ව්‍යුහයට ප්‍රවේශ වීම හෝ පරිශීලකයාගේ උපාංගයට දේශීය ප්‍රවේශය අවශ්‍ය වන බැවින් ඉතිරි දුර්වලතා 14 අඩු බරපතල මට්ටමක් ඇත. CVE-2023-24033 අවදානම හැර, Google Pixel උපාංග සඳහා මාර්තු ෆර්ම්වෙයාර් යාවත්කාලීනයේදී යෝජනා කරන ලද නිවැරදි කිරීමක්, ගැටළු නොනැසී පවතී. CVE-2023-24033 අවදානම ගැන දන්නා එකම දෙය නම් එය SDP (සැසි විස්තර ප්‍රොටෝකෝලය) පණිවිඩවල සම්ප්‍රේෂණය වන “පිළිගැනීමේ-වර්ගය” ගුණාංගයේ ආකෘතිය වැරදි ලෙස පරීක්ෂා කිරීම නිසා ඇති වූවක් බවයි.

නිෂ්පාදකයන් විසින් දුර්වලතා නිරාකරණය කරන තුරු, පරිශීලකයන් විසින් VoLTE (Voice-over-LTE) සහය සහ Wi-Fi හරහා ඇමතුම් ක්‍රියාකාරිත්වය අක්‍රිය කිරීමට නිර්දේශ කරනු ලැබේ. Exynos චිප් සහිත උපාංගවල දුර්වලතා පෙන්නුම් කරයි, උදාහරණයක් ලෙස, Samsung ස්මාර්ට්ෆෝන් (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 සහ A04), Vivo (S16, S15, S6, X70, X60 සහ X30), Google Pixel (6 සහ 7), මෙන්ම Exynos W920 චිප්සෙට් මත පදනම් වූ පැළඳිය හැකි උපාංග සහ Exynos Auto T5123 චිපය සහිත මෝටර් රථ පද්ධති.

අවදානම් වල අන්තරාය සහ සූරාකෑමක සීඝ්‍රයෙන් මතුවීමේ යථාර්ථවාදය හේතුවෙන්, Google වඩාත් භයානක ගැටළු 4 සඳහා ව්‍යතිරේකයක් කිරීමට සහ ගැටළු වල ස්වභාවය පිළිබඳ තොරතුරු අනාවරණය කිරීම කල් දැමීමට තීරණය කළේය. ඉතිරි දුර්වලතා සඳහා, නිෂ්පාදකයාට දැනුම් දීමෙන් දින 90 කට පසුව විස්තර අනාවරණය කිරීමේ කාලසටහන අනුගමනය කරනු ලැබේ (අවදානම්තා පිළිබඳ තොරතුරු CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023- -26075-2023 දෝෂ ලුහුබැඳීමේ පද්ධතිය තුළ දැනටමත් ලබා ගත හැකි අතර, ඉතිරි ගැටළු 26076 සඳහා, දින 9 බලා සිටීම තවමත් කල් ඉකුත් වී නැත). වාර්තා කරන ලද දුර්වලතා CVE-90-2023* NrmmMsgCodec සහ NrSmPcoCodec කෝඩෙක්ස්වල ඇතැම් විකල්ප සහ ලැයිස්තු විකේතනය කිරීමේදී බෆරය පිටාර ගැලීම නිසා ඇතිවේ.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න