Муҳаққиқони гурӯҳи Google Project Zero аз муайян кардани 18 осебпазирӣ дар модемҳои Samsung Exynos 5G/LTE/GSM хабар доданд. Чаҳор осебпазирии хатарноктарин (CVE-2023-24033) имкон медиҳад, ки кодро дар сатҳи чипи базавӣ тавассути коркарди шабакаҳои интернетии берунӣ иҷро кунад. Ба гуфтаи намояндагони Google Project Zero, пас аз гузаронидани тадқиқоти каме иловагӣ, ҳамлагарони бомаҳорат метавонанд зуд эксплоити кориро омода созанд, ки имкон медиҳад, ки танҳо рақами телефони ҷабрдида дар сатҳи модули бесим назоратро ба таври фосилавӣ ба даст оранд. Ҳамла метавонад аз ҷониби корбар нодида анҷом дода шавад ва аз ӯ иҷрои ягон амалро талаб намекунад.
14 осебпазирии боқимонда дараҷаи шиддати камтар доранд, зеро ҳамла дастрасӣ ба инфрасохтори оператори шабакаи мобилӣ ё дастрасии маҳаллӣ ба дастгоҳи корбарро талаб мекунад. Ба истиснои CVE-2023-24033, ки дар навсозии нармафзори миёнаравӣ барои дастгоҳҳои Google Pixel дар моҳи март часпонда шуда буд, мушкилот боқӣ мемонанд. Ҳама чизе, ки дар бораи осебпазирии CVE-2023-24033 маълум аст, он аст, ки он дар натиҷаи санҷиши нодурусти формати атрибути навъи "қабул", ки дар паёмҳои SDP (Session Description Protocol) интиқол дода мешавад, ба вуҷуд омадааст.
То он даме, ки осебпазирӣ аз ҷониби истеҳсолкунандагон ислоҳ карда нашавад, ба корбарон тавсия дода мешавад, ки дастгирии VoLTE (Voice-over-LTE) ва функсияи занги Wi-Fi-ро дар танзимот хомӯш кунанд. Осиятҳо дар дастгоҳҳое пайдо мешаванд, ки бо чипҳои Exynos муҷаҳҳаз шудаанд, масалан, дар смартфонҳои Samsung (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 ва A04), Vivo (S16, S15, S6, X70, X60 ва X30), Google Pixel (6 ва 7), инчунин дастгоҳҳои пӯшида бо чипсети Exynos W920 ва системаҳои автомобилӣ бо чипи Exynos Auto T5123.
Аз сабаби хатари осебпазирӣ ва воқеияти пайдоиши босуръати истисмор, Google тасмим гирифт, ки аз қоидаи 4 мушкилоти хатарнок истисно кунад ва ифшои маълумотро дар бораи хусусияти мушкилот ба таъхир гузорад. Барои осебпазириҳои боқимонда, тафсилот пас аз 90 рӯз пас аз огоҳии фурӯшанда ошкор карда мешавад (маълумот дар бораи осебпазирии CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 ва CVE-2023 аллакай дастрас аст дар системаи пайгирии хатогиҳо ва барои 26076 масъалаи боқимонда мӯҳлати интизории 9-рӯза ҳанӯз ба охир нарасидааст). Осебиятҳои гузоришшудаи CVE-90-2023* дар натиҷаи фаромадани буфер ҳангоми рамзкушоии баъзе интихобҳо ва рӯйхатҳо дар кодекҳои NrmmMsgCodec ва NrSmPcoCodec ба вуҷуд меоянд.
Манбаъ: opennet.ru