اخبار سخت افزار کامپیوتر

Project Zero گوگل 18 آسیب پذیری روز صفر را در چیپست های اگزینوس کشف کرد.

توسط در جمعه, مارس 17, 2023

با توجه به شدت چهار آسیب‌پذیری مهم اصلی، Project Zero افشای کامل نحوه عملکرد اکسپلویت را به تعویق انداخته است:

با توجه به ترکیب بسیار نادری از سطح دسترسی ارائه شده توسط این آسیب‌پذیری‌ها و سرعتی که ما معتقدیم با آن می‌توان یک اکسپلویت عملیاتی قابل اعتماد را مهندسی کرد، تصمیم گرفته‌ایم از سیاست به تأخیر انداختن افشای چهار آسیب‌پذیری که به اینترنت اجازه می‌دهند، استثنا قائل شویم. اجرای کد از راه دور به باند پایه.

در حالی که جدول زمانی وصله بسته به سازنده متفاوت است، به‌روزرسانی‌های امنیتی مارس 2023 Google بحرانی‌ترین آسیب‌پذیری CVE-2023-24033 را در برخی از دستگاه‌های پیکسل 6 و پیکسل 7 برطرف کرد، اما بسیاری از دستگاه‌ها در برابر برخی یا همه سوء استفاده‌های موجود در گزارش آسیب‌پذیر هستند. دستگاه ها عبارتند از:

  • دستگاه های موبایل سامسونگ شامل سری های S22، M33، M13، M12، A71، A53، A33، A21، A13، A12 و A04
  • دستگاه های تلفن همراه Vivo، از جمله دستگاه های سری S16، S15، S6، X70، X60 و X30
  • سری دستگاه های پیکسل 6 و پیکسل 7 گوگل
  • همه دستگاه های قابل حملی که از چیپست Exynos W920 استفاده می کنند
  • تمام خودروهایی که از چیپست Exynos Auto T5123 استفاده می کنند

تضعیف ها
Project Zero پیشنهاد می‌کند که کاربران دستگاه‌های آسیب‌دیده که منتظر وصله‌های امنیتی هستند، می‌توانند با غیرفعال کردن تماس Wi-Fi و Voice over LTE (VoLTE) در تنظیمات دستگاه، خطر آسیب‌پذیری‌های اجرای کد از راه دور باند پایه کلیدی را کاهش دهند. برای برخی از دستگاه‌ها این کار آسانی است، اما برای دستگاه‌های Google Pixel، VoLTE به‌طور پیش‌فرض فعال است و راهی برای غیرفعال کردن آن وجود ندارد. با این حال، همچنان می‌توانید تماس Wi-Fi را در برنامه تنظیمات در زیر شبکه و اینترنت > سیم‌کارت‌ها > تماس Wi-Fi خاموش کنید.



مرجع اخبار سخت افزار کامپیوترایران

تیم داخلی Project Zero گوگل که به کشف و رفع آسیب‌پذیری‌های روز صفر در سخت‌افزار، نرم‌افزار، مرورگرهای وب و کتابخانه‌های منبع باز اختصاص دارد، مجموعه‌ای از آسیب‌پذیری‌ها را در چیپست‌های Exynos سامسونگ در طیف وسیعی از دستگاه‌های تلفن همراه نشان داده است. چهار مورد از این آسیب‌پذیری‌های حیاتی امکان اجرای کد از راه دور از اینترنت به باند پایه را می‌دهند، و آزمایش توسط Project Zero تأیید کرده است که مهاجم می‌تواند تلفنی را در سطح باند پایه تنها با شماره تلفن قربانی شماره به خطر بیاندازد. آنها بر این باورند که با مهارت کافی، یک مهاجم می تواند از این آسیب پذیری ها کاملا بی صدا و از راه دور سوء استفاده کند. چهارده آسیب‌پذیری دیگر مرتبط هستند، اما به دلیل نیاز به پیکربندی گسترده‌تر، از جمله یک اپراتور شبکه تلفن همراه مخرب یا دسترسی محلی به دستگاه مورد نظر، کمتر حیاتی در نظر گرفته می‌شوند.

0
نوشته‌های مرتبط