發布單位:TWCERT/CC
更新日期:2023-03-17
Google 旗下的資安研究團隊 Project Zero 日前發表資安通報指出,該團隊的研究人員在 Samsung 用於行動裝置、穿戴式裝置與汽車中的 Exynos 晶片組,一口氣發現多達 18 個 0-day 資安漏洞。
該團隊是在 2022 年末到 2023 年初之間,在 Exynos 晶片組的 Modem 內發現多個安全漏洞,在 18 個漏洞中有 4 個的危險程度極高,可讓駭侵者自外網入侵裝置的基頻 (Baseband),並且遠端執行任意程式碼。
據報告指出,這 4 個遠端執行任意程式碼漏洞(其中一個為 CVE-2023-24033,另外三個尚無 CVE 編號),可讓攻擊者在無需任何使用者互動的隱密情形下遠端入侵設備,並遠端執行任意程式碼。
Samsung 也在自行發表的漏洞資安通報中表示,Exynos 晶片組中的基頻軟體未能妥善檢查由 SDP 指定之接受類型的格式,導致駭侵者可在基頻晶片中發動服務阻斷攻擊 (Denial of Service, DoS),或是遠端執行任意程式碼。
