三星 Exynos 芯片組爆出18個零日漏洞,影響多款產品

發布時間 2023-03-17

Bleeping Computer 網站披露,谷歌 Project Zero 安全團隊在三星用于移動設備、可穿戴設備和汽車的Exynos 芯片組中發現了 18 個漏洞,包括 Pixel 6 系列、Pixel 7 系列、三星 Galaxy S22 系列和 Galaxy A53 等產品均受影響。


Exynos 芯片組中的安全漏洞發生在 2022 年末至 2023 年初,其中四個被評為高危漏洞,允許攻擊者從互聯網到基帶執行遠程代碼。這些互聯網到基帶遠程代碼執行(RCE)漏洞(包括 CVE-2023-24033 和其它三個仍在等待 CVE-ID的漏洞)允許攻擊者在沒有任何用戶交互的情況下,遠程危害易受攻擊的設備。


三星在一份描述 CVE-2023-24033 漏洞的安全咨詢中表示,基帶軟件沒有正確檢查 SDP 指定接受的格式類型,可能導致三星基帶調制解調器中的拒絕服務或代碼執行。


Project Zero 安全團隊負責人 Tim Willis 指出,潛在攻擊者只要有受害者的電話號碼,就可以發動襲擊。更糟糕的是,只要稍微認真研究一下,經驗豐富的攻擊者便可以在不引起目標注意的情況下,輕而易舉的利用漏洞遠程攻擊易受攻擊的設備。


其余 14個 漏洞主要包括 CVE-2023-24072、CVE-2023-204073、CVE-202 3-24074、CVE-2022 3-24075、CVE-2020 3-24076 以及其它 9 個等待 CVE ID 的漏洞,雖然這些漏洞不會造成很嚴重的后果,但仍存在安全風險。