ProHoster > بلاگ > انٹرنیٹ کی خبریں > Samsung Exynos وائرلیس ماڈیولز میں کمزوری، انٹرنیٹ کے ذریعے قابل استمعال

Samsung Exynos وائرلیس ماڈیولز میں کمزوری، انٹرنیٹ کے ذریعے قابل استمعال

گوگل پروجیکٹ زیرو ٹیم کے محققین نے Samsung Exynos 18G/LTE/GSM موڈیمز میں 5 کمزوریوں کی نشاندہی کی اطلاع دی۔ چار انتہائی خطرناک کمزوریاں (CVE-2023-24033) بیرونی انٹرنیٹ نیٹ ورکس سے ہیرا پھیری کے ذریعے بیس بینڈ چپ کی سطح پر کوڈ پر عمل درآمد کی اجازت دیتی ہیں۔ گوگل پروجیکٹ زیرو کے نمائندوں کے مطابق، تھوڑی سی اضافی تحقیق کرنے کے بعد، ہنر مند حملہ آور تیزی سے کام کرنے والے استیصال کو تیار کرنے کے قابل ہو جائیں گے جو صرف متاثرہ کے فون نمبر کو جانتے ہوئے، وائرلیس ماڈیول کی سطح پر دور سے کنٹرول حاصل کرنا ممکن بناتا ہے۔ حملہ صارف کی طرف سے کسی کا دھیان نہیں دیا جا سکتا ہے اور اسے کسی بھی کارروائی کی ضرورت نہیں ہے۔

بقیہ 14 خطرات کی شدت کی سطح کم ہے، کیونکہ حملے کے لیے موبائل نیٹ ورک آپریٹر کے انفراسٹرکچر تک رسائی یا صارف کے آلے تک مقامی رسائی کی ضرورت ہوتی ہے۔ CVE-2023-24033 کی رعایت کے ساتھ، جو کہ Google Pixel ڈیوائسز کے لیے مارچ کے فرم ویئر اپ ڈیٹ میں پیچ کیا گیا تھا، مسائل اب بھی بے پیچ ہیں۔ CVE-2023-24033 خطرے کے بارے میں جو کچھ معلوم ہے وہ یہ ہے کہ یہ SDP (Session Description Protocol) پیغامات میں منتقل ہونے والے "accept-type" وصف کے فارمیٹ کی غلط جانچ کی وجہ سے ہوتا ہے۔

جب تک مینوفیکچررز کی طرف سے کمزوریوں کو ٹھیک نہیں کیا جاتا، صارفین کو مشورہ دیا جاتا ہے کہ وہ VoLTE (وائس اوور-LTE) سپورٹ اور وائی فائی کالنگ فنکشن کو سیٹنگز میں بند کر دیں۔ کمزوریاں Exynos چپس سے لیس آلات میں ظاہر ہوتی ہیں، مثال کے طور پر سام سنگ اسمارٹ فونز (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 اور A04), Vivo (S16, S15, S6, X70, X60 اور X30)، Google Pixel (6 اور 7)، نیز Exynos W920 چپ سیٹ کے ساتھ پہننے کے قابل آلات اور Exynos Auto T5123 چپ کے ساتھ آٹو موٹیو سسٹم۔

کمزوریوں کے خطرے اور استحصال کے تیزی سے ابھرنے کی حقیقت کے پیش نظر، گوگل نے فیصلہ کیا کہ 4 انتہائی خطرناک مسائل کے لیے قاعدے سے استثنیٰ دیا جائے اور مسائل کی نوعیت کے بارے میں معلومات کے افشاء میں تاخیر کی جائے۔ بقیہ کمزوریوں کے لیے، وینڈر کی اطلاع کے 90 دن بعد تفصیلات کا انکشاف کیا جائے گا (خطرات CVE-2023-26072، CVE-2023-26073، CVE-2023-26074، CVE-2023-26075 اور CVE-2023-26076-9 کے خطرات سے متعلق معلومات بگ ٹریکنگ سسٹم میں، اور بقیہ 90 ایشوز کے لیے 2023 دن کی انتظار کی مدت ابھی ختم نہیں ہوئی ہے)۔ اطلاع دی گئی کمزوریاں CVE-2607-XNUMX* بفر اوور فلو کی وجہ سے ہوتی ہیں جب NrmmMsgCodec اور NrSmPcoCodec کوڈیکس میں کچھ اختیارات اور فہرستوں کو ڈی کوڈ کرتے ہیں۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں