যদি শোষিত হয়, এই ত্রুটিগুলি আক্রমণকারীদের সংবেদনশীল তথ্যে অননুমোদিত অ্যাক্সেস পেতে বা সাধারণত সমস্যা সৃষ্টি করতে পারে
গুগল টিমের গবেষকরা প্রকল্প জিরো, উন্মোচন সম্প্রতি একটি ব্লগ পোস্টের মাধ্যমে, 18টি দুর্বলতার আবিষ্কার সনাক্ত en স্যামসাং মডেম Exynos 5G/LTE/GSM.
গুগল প্রজেক্ট জিরো প্রতিনিধিদের মতে, কিছু অতিরিক্ত গবেষণার পরে, দক্ষ আক্রমণকারীরা দ্রুত একটি কার্যকরী শোষণ প্রস্তুত করতে সক্ষম হবে যা কেবলমাত্র শিকারের ফোন নম্বর জেনে ওয়্যারলেস মডিউল স্তরে রিমোট কন্ট্রোল অর্জন করতে দেয়। আক্রমণটি ব্যবহারকারীকে সচেতন না করেই করা যেতে পারে এবং ব্যবহারকারীর কাছ থেকে কোনও পদক্ষেপের প্রয়োজন হয় না, যা সনাক্ত করা কিছু দুর্বলতাকে সমালোচনামূলক করে তোলে।
The চারটি সবচেয়ে বিপজ্জনক দুর্বলতা (জন্য CVE-2023-24033) ব্যান্ড চিপ স্তরে কোড কার্যকর করার অনুমতি দিন ভিত্তি বাহ্যিক ইন্টারনেট নেটওয়ার্কের কারসাজির মাধ্যমে.
2022 সালের শেষের দিকে এবং 2023 সালের প্রথম দিকে, প্রজেক্ট জিরো স্যামসাং সেমিকন্ডাক্টর দ্বারা উত্পাদিত এক্সিনোস মডেমগুলিতে আঠারটি শূন্য-দিনের দুর্বলতার কথা জানিয়েছে। এই আঠারোটি দুর্বলতার মধ্যে চারটি সবচেয়ে গুরুতর (CVE-2023-24033 এবং তিনটি অন্য দুর্বলতা যা এখনও CVE-ID বরাদ্দ করা হয়নি) ইন্টারনেট থেকে বেসব্যান্ডে দূরবর্তী কোড কার্যকর করার অনুমতি দিয়েছে।
অবশিষ্ট 14টি দুর্বলতার মধ্যে, এটা উল্লেখ করা হয় যে একটি নিম্ন তীব্রতা স্তর আছে, যেহেতু আক্রমণের জন্য মোবাইল নেটওয়ার্ক অপারেটরের অবকাঠামো বা ব্যবহারকারীর ডিভাইসে স্থানীয় অ্যাক্সেস প্রয়োজন। CVE-2023-24033 দুর্বলতা বাদে, যা Google Pixel ডিভাইসের জন্য মার্চ ফার্মওয়্যার আপডেটে ঠিক করার প্রস্তাব করা হয়েছিল, সমস্যাগুলি অমীমাংসিত রয়ে গেছে।
এখন পর্যন্ত, শুধুমাত্র CVE-2023-24033 দুর্বলতা সম্পর্কে জানা যায় যে এটি সেশন বর্ণনা প্রোটোকল (SDP) বার্তাগুলিতে প্রেরিত গ্রহণ-টাইপ বৈশিষ্ট্যের ভুল ফর্ম্যাট চেকিংয়ের কারণে ঘটে।
প্রজেক্ট জিরো দ্বারা পরীক্ষা নিশ্চিত করে যে এই চারটি দুর্বলতা একজন আক্রমণকারীকে ব্যবহারকারীর ইন্টারঅ্যাকশন ছাড়াই বেসব্যান্ড স্তরে একটি ফোনকে দূরবর্তীভাবে আপস করতে দেয় এবং শুধুমাত্র আক্রমণকারীকে শিকারের ফোন নম্বর জানতে হবে। সীমিত অতিরিক্ত গবেষণা এবং বিকাশের সাথে, আমরা বিশ্বাস করি দক্ষ আক্রমণকারীরা দ্রুত একটি অপারেশনাল শোষণ তৈরি করতে পারে যাতে নীরবে এবং দূরবর্তীভাবে প্রভাবিত ডিভাইসগুলিকে আপোস করা যায়।
দুর্বলতাগুলি স্যামসাং এক্সিনোস চিপস, এস দ্বারা সজ্জিত ডিভাইসগুলিতে প্রকাশ পায়৷ডিভাইসগুলিতে চিপসেট বরাদ্দকারী পাবলিক ওয়েবসাইটগুলির তথ্যের উপর ভিত্তি করে, প্রভাবিত পণ্যগুলি অন্তর্ভুক্ত থাকতে পারে:
- S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 এবং A04 সিরিজ সহ Samsung মোবাইল ডিভাইস;
- Vivo মোবাইল ডিভাইস, S16, S15, S6, X70, X60 এবং X30 সিরিজ সহ;
- গুগলের পিক্সেল 6 এবং পিক্সেল 7 সিরিজের ডিভাইস; এবং
- Exynos Auto T5123 চিপসেট ব্যবহার করে যেকোন গাড়ি।
যতক্ষণ না নির্মাতারা দুর্বলতাগুলি ঠিক করেন, এটি সুপারিশ করা হয় ব্যবহারকারীদের যেটি VoLTE সমর্থন অক্ষম করে (ভয়েস-ওভার-এলটিই) এবং সেটিংসে ওয়াই-ফাই কলিং ফাংশন। এই সেটিংস অক্ষম করলে এই দুর্বলতাগুলিকে কাজে লাগানোর ঝুঁকি দূর হবে৷
দুর্বলতার বিপদের কারণে এবং একটি শোষণের দ্রুত উপস্থিতির বাস্তবতা, গুগল 4টি সবচেয়ে বিপজ্জনক সমস্যার জন্য একটি ব্যতিক্রম করার সিদ্ধান্ত নিয়েছে এবং সমস্যার প্রকৃতি সম্পর্কে তথ্য প্রকাশ স্থগিত করা।
সর্বদা হিসাবে, আমরা শেষ ব্যবহারকারীদের যত তাড়াতাড়ি সম্ভব তাদের ডিভাইসগুলি আপডেট করার জন্য উত্সাহিত করি যাতে তারা সর্বশেষ বিল্ডগুলি চালাচ্ছে যা প্রকাশ এবং অপ্রকাশিত সুরক্ষা দুর্বলতাগুলিকে ঠিক করে।
বাকি দুর্বলতার জন্য, প্রস্তুতকারকের কাছে বিজ্ঞপ্তির 90 দিন পরে বিশদ প্রকাশের সময়সূচী অনুসরণ করা হবে (দুর্বলতার তথ্য CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023 এবং CVE-26075-2023 -26076-9 এখন বাগ ট্র্যাকিং সিস্টেমে উপলব্ধ এবং বাকি 90টি সমস্যার জন্য, XNUMX দিনের অপেক্ষার মেয়াদ এখনও শেষ হয়নি)।
রিপোর্ট করা দুর্বলতা CVE-2023-2607* NrmmMsgCodec এবং NrSmPcoCodec কোডেকগুলিতে নির্দিষ্ট বিকল্প এবং তালিকাগুলি ডিকোড করার সময় একটি বাফার ওভারফ্লো দ্বারা সৃষ্ট হয়৷
পরিশেষে, আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন আপনি বিশদ পরীক্ষা করতে পারেন নীচের লিঙ্কে।