18 nulladik napi sebezhetőséget találtak a Samsung Exynos lapkakészleteiben

A Google nulladik napi hibavadász csapata, a Project Zero 18 nulladik napi sebezhetőséget talált a Samsung Exynos lapkakészleteiben, amelyeket számos eszközön használnak, beleértve, de nem kizárólagosan az okostelefonokat, hordható eszközöket és akár autókat is. E hibák közül négy lehetővé tette a távoli támadók számára, hogy távolról, felhasználói beavatkozás nélkül, alapsávi szinten feltörhessék az eszközt, és csak a felhasználó telefonszámára volt szükség a támadás végrehajtásához.

A fennmaradó 14 hiba nem olyan kritikus, mivel a végrehajtás rosszindulatú hálózati szolgáltatót vagy helyi hozzáférést igényel. Ennek ellenére továbbra is kockázatot jelentenek. Mindössze hat sebezhetőség – köztük egy kritikus – kapott eddig CVE-azonosítót, a másik 12 pedig még mindig követésre vár. Ezek közé tartozik a fent említett kritikus RCE hiba, amelyet CVE-2024-24033 néven nyomon követtek, és a többi kevésbé súlyos hiba, köztük a CVE-2024-24072, CVE-2024-24073, CVE-2024-24074, CVE-2024-24072 és C6-2-4072. .

Az Exynos W920 az egyik érintett lapkakészlet. | Forrás: Samsung

Összességében az érintett lapkakészletek listája alapján a Samsung biztosítjaérintett eszközök, a Project Zero jelentés szerint az érintett eszközök valószínűleg a következőket foglalják magukban

  • Samsung okostelefonok, beleértve az S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 és A04 sorozatokat
  • Vivo okostelefonok, beleértve az S16, S15, S6, X70, X60 és X30 sorozatot
  • Google okostelefonok, beleértve a Pixel 6 és 7 sorozatot
  • Viselhető eszközök az Exynos W920 lapkakészlettel
  • Exynos Auto T5123 lapkakészletet használó járművek

A Samsung már biztosított a gyártók számára biztonsági frissítéseket ezekre a sérülékenységekre. A javítások azonban még közel 90 napos nyilvánosságra hozatal után sem nyilvánosak, és nem is alkalmazhatják őket minden érintett felhasználó. Ennek a késedelemnek a nagy része a gyártók tesztelésének és javításainak az érintett eszközökhöz való kiadásának köszönhető. A Google már kijavította a CVE-2023-24033 hibát, amely az egyik egyetlen nyomon követett hiba a Project Zero által a márciusi biztonsági frissítésekben talált négy kritikus hiba közül, és hamarosan más gyártók is követni fogják.

Olvasni:  A MagSafe töltő nem működik: Gyors javítás

Ezenkívül a Project Zero megoldásokat is kínált az eszközök védelmére időközben. A felhasználók letilthatják a WiFi-hívást és a VoLTE-t a hatások mérséklése érdekében. A megoldásokat a Samsung is megerősítette.

A hírekben: Lenovo Tech World India: Összecsukható laptopok, VR headset és még sok más

Új publikációk:

Ajánlott