ದುರ್ಬಳಕೆ ಮಾಡಿಕೊಂಡರೆ, ಈ ನ್ಯೂನತೆಗಳು ಆಕ್ರಮಣಕಾರರಿಗೆ ಸೂಕ್ಷ್ಮ ಮಾಹಿತಿಗೆ ಅನಧಿಕೃತ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಅಥವಾ ಸಾಮಾನ್ಯವಾಗಿ ಸಮಸ್ಯೆಗಳನ್ನು ಉಂಟುಮಾಡಬಹುದು
ಗೂಗಲ್ ತಂಡದ ಸಂಶೋಧಕರು ಪ್ರಾಜೆಕ್ಟ್ ಝೀರೋ, ಅನಾವರಣಗೊಂಡಿದೆ ಇತ್ತೀಚೆಗೆ ಬ್ಲಾಗ್ ಪೋಸ್ಟ್ ಮೂಲಕ, ದಿ 18 ದುರ್ಬಲತೆಗಳ ಆವಿಷ್ಕಾರ ಪತ್ತೆ ಮಾಡಲಾಗಿದೆ en ಸ್ಯಾಮ್ಸಂಗ್ ಮೋಡೆಮ್ಗಳು Exynos 5G/LTE/GSM.
ಗೂಗಲ್ ಪ್ರಾಜೆಕ್ಟ್ ಝೀರೋ ಪ್ರತಿನಿಧಿಗಳ ಪ್ರಕಾರ, ಕೆಲವು ಹೆಚ್ಚುವರಿ ಸಂಶೋಧನೆಯ ನಂತರ, ನುರಿತ ದಾಳಿಕೋರರು ವೈರ್ಲೆಸ್ ಮಾಡ್ಯೂಲ್ ಮಟ್ಟದಲ್ಲಿ ರಿಮೋಟ್ ಕಂಟ್ರೋಲ್ ಅನ್ನು ಪಡೆಯಲು ಅನುವು ಮಾಡಿಕೊಡುವ ಕೆಲಸದ ಶೋಷಣೆಯನ್ನು ತ್ವರಿತವಾಗಿ ಸಿದ್ಧಪಡಿಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ, ಬಲಿಪಶುವಿನ ಫೋನ್ ಸಂಖ್ಯೆಯನ್ನು ಮಾತ್ರ ತಿಳಿದುಕೊಳ್ಳಬಹುದು. ಬಳಕೆದಾರರಿಗೆ ಅರಿವಿಲ್ಲದೆ ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದು ಮತ್ತು ಬಳಕೆದಾರರಿಂದ ಯಾವುದೇ ಕ್ರಮದ ಅಗತ್ಯವಿರುವುದಿಲ್ಲ, ಇದು ಪತ್ತೆಯಾದ ಕೆಲವು ದುರ್ಬಲತೆಗಳನ್ನು ನಿರ್ಣಾಯಕವಾಗಿಸುತ್ತದೆ.
ದಿ ನಾಲ್ಕು ಅತ್ಯಂತ ಅಪಾಯಕಾರಿ ದೋಷಗಳು (ಸಿವಿಇ -2023-24033) ಬ್ಯಾಂಡ್ ಚಿಪ್ ಮಟ್ಟದಲ್ಲಿ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಅನುಮತಿಸಿ ಬೇಸ್ ಬಾಹ್ಯ ಇಂಟರ್ನೆಟ್ ನೆಟ್ವರ್ಕ್ಗಳ ಕುಶಲತೆಯ ಮೂಲಕ.
2022 ರ ಕೊನೆಯಲ್ಲಿ ಮತ್ತು 2023 ರ ಆರಂಭದಲ್ಲಿ, ಸ್ಯಾಮ್ಸಂಗ್ ಸೆಮಿಕಂಡಕ್ಟರ್ ಉತ್ಪಾದಿಸಿದ ಎಕ್ಸಿನೋಸ್ ಮೋಡೆಮ್ಗಳಲ್ಲಿ ಪ್ರಾಜೆಕ್ಟ್ ಝೀರೋ ಹದಿನೆಂಟು ಶೂನ್ಯ-ದಿನದ ದೋಷಗಳನ್ನು ವರದಿ ಮಾಡಿದೆ. ಈ ಹದಿನೆಂಟು ದುರ್ಬಲತೆಗಳಲ್ಲಿ ನಾಲ್ಕು ಅತ್ಯಂತ ಗಂಭೀರವಾದವುಗಳು (CVE-2023-24033 ಮತ್ತು ಇನ್ನೂ CVE-ID ಗಳನ್ನು ನಿಯೋಜಿಸದ ಇತರ ಮೂರು ದುರ್ಬಲತೆಗಳು) ಇಂಟರ್ನೆಟ್ನಿಂದ ಬೇಸ್ಬ್ಯಾಂಡ್ಗೆ ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಅನುಮತಿಸಿವೆ.
ಉಳಿದ 14 ದುರ್ಬಲತೆಗಳಲ್ಲಿ, ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ಕಡಿಮೆ ತೀವ್ರತೆಯ ಮಟ್ಟವನ್ನು ಹೊಂದಿದೆ, ದಾಳಿಗೆ ಮೊಬೈಲ್ ನೆಟ್ವರ್ಕ್ ಆಪರೇಟರ್ನ ಮೂಲಸೌಕರ್ಯಕ್ಕೆ ಪ್ರವೇಶ ಅಥವಾ ಬಳಕೆದಾರರ ಸಾಧನಕ್ಕೆ ಸ್ಥಳೀಯ ಪ್ರವೇಶದ ಅಗತ್ಯವಿರುತ್ತದೆ. Google Pixel ಸಾಧನಗಳಿಗಾಗಿ ಮಾರ್ಚ್ ಫರ್ಮ್ವೇರ್ ಅಪ್ಡೇಟ್ನಲ್ಲಿ ಸರಿಪಡಿಸಲು ಪ್ರಸ್ತಾಪಿಸಲಾದ CVE-2023-24033 ದುರ್ಬಲತೆಯನ್ನು ಹೊರತುಪಡಿಸಿ, ಸಮಸ್ಯೆಗಳು ಬಗೆಹರಿಯದೆ ಉಳಿದಿವೆ.
ಇಲ್ಲಿಯವರೆಗೆ, CVE-2023-24033 ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ತಿಳಿದಿರುವ ಏಕೈಕ ವಿಷಯವೆಂದರೆ ಅದು ಸೆಷನ್ ವಿವರಣೆ ಪ್ರೋಟೋಕಾಲ್ (SDP) ಸಂದೇಶಗಳಲ್ಲಿ ರವಾನೆಯಾಗುವ ಸ್ವೀಕಾರ-ರೀತಿಯ ಗುಣಲಕ್ಷಣದ ತಪ್ಪಾದ ಸ್ವರೂಪದ ಪರಿಶೀಲನೆಯಿಂದ ಉಂಟಾಗುತ್ತದೆ.
ಪ್ರಾಜೆಕ್ಟ್ ಝೀರೋ ಪರೀಕ್ಷೆಯು ಈ ನಾಲ್ಕು ದುರ್ಬಲತೆಗಳು ಆಕ್ರಮಣಕಾರರಿಗೆ ಬಳಕೆದಾರರ ಸಂವಹನವಿಲ್ಲದೆ ಬೇಸ್ಬ್ಯಾಂಡ್ ಮಟ್ಟದಲ್ಲಿ ಫೋನ್ ಅನ್ನು ದೂರದಿಂದಲೇ ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ ಮತ್ತು ದಾಳಿಕೋರರಿಗೆ ಬಲಿಪಶುವಿನ ಫೋನ್ ಸಂಖ್ಯೆಯನ್ನು ತಿಳಿದುಕೊಳ್ಳುವ ಅಗತ್ಯವಿದೆ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ. ಸೀಮಿತ ಹೆಚ್ಚುವರಿ ಸಂಶೋಧನೆ ಮತ್ತು ಅಭಿವೃದ್ಧಿಯೊಂದಿಗೆ, ಪೀಡಿತ ಸಾಧನಗಳನ್ನು ಮೌನವಾಗಿ ಮತ್ತು ದೂರದಿಂದಲೇ ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಲು ನುರಿತ ದಾಳಿಕೋರರು ತ್ವರಿತವಾಗಿ ಕಾರ್ಯಾಚರಣೆಯ ಶೋಷಣೆಯನ್ನು ರಚಿಸಬಹುದು ಎಂದು ನಾವು ನಂಬುತ್ತೇವೆ.
Samsung Exynos ಚಿಪ್ಗಳನ್ನು ಹೊಂದಿರುವ ಸಾಧನಗಳಲ್ಲಿ ದೋಷಗಳು ಸ್ಪಷ್ಟವಾಗಿ ಗೋಚರಿಸುತ್ತವೆ, sಸಾಧನಗಳಿಗೆ ಚಿಪ್ಸೆಟ್ಗಳನ್ನು ನಿಯೋಜಿಸುವ ಸಾರ್ವಜನಿಕ ವೆಬ್ಸೈಟ್ಗಳ ಮಾಹಿತಿಯ ಆಧಾರದ ಮೇಲೆ, ಪೀಡಿತ ಉತ್ಪನ್ನಗಳು ಒಳಗೊಂಡಿರುವ ಸಾಧ್ಯತೆಯಿದೆ:
- S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 ಮತ್ತು A04 ಸರಣಿಗಳನ್ನು ಒಳಗೊಂಡಂತೆ Samsung ಮೊಬೈಲ್ ಸಾಧನಗಳು;
- S16, S15, S6, X70, X60 ಮತ್ತು X30 ಸರಣಿ ಸೇರಿದಂತೆ Vivo ಮೊಬೈಲ್ ಸಾಧನಗಳು;
- Google ನ Pixel 6 ಮತ್ತು Pixel 7 ಸರಣಿಯ ಸಾಧನಗಳು; ಮತ್ತು
- Exynos ಆಟೋ T5123 ಚಿಪ್ಸೆಟ್ ಬಳಸುವ ಯಾವುದೇ ವಾಹನ.
ತಯಾರಕರು ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸುವವರೆಗೆ, ಇದನ್ನು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ ಬಳಕೆದಾರರಿಗೆ ಅದು VoLTE ಬೆಂಬಲವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ (ವಾಯ್ಸ್-ಓವರ್-ಎಲ್ಟಿಇ) ಮತ್ತು ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ ವೈ-ಫೈ ಕರೆ ಮಾಡುವ ಕಾರ್ಯ. ಈ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವುದರಿಂದ ಈ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಅಪಾಯವನ್ನು ನಿವಾರಿಸುತ್ತದೆ.
ದುರ್ಬಲತೆಗಳ ಅಪಾಯದಿಂದಾಗಿ ಮತ್ತು ಶೋಷಣೆಯ ತ್ವರಿತ ನೋಟದ ನೈಜತೆ, Google 4 ಅತ್ಯಂತ ಅಪಾಯಕಾರಿ ಸಮಸ್ಯೆಗಳಿಗೆ ವಿನಾಯಿತಿ ನೀಡಲು ನಿರ್ಧರಿಸಿದೆ ಮತ್ತು ಸಮಸ್ಯೆಗಳ ಸ್ವರೂಪದ ಬಗ್ಗೆ ಮಾಹಿತಿಯ ಬಹಿರಂಗಪಡಿಸುವಿಕೆಯನ್ನು ಮುಂದೂಡುವುದು.
ಯಾವಾಗಲೂ ಹಾಗೆ, ಬಹಿರಂಗಪಡಿಸಿದ ಮತ್ತು ಬಹಿರಂಗಪಡಿಸದ ಭದ್ರತಾ ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸುವ ಇತ್ತೀಚಿನ ಬಿಲ್ಡ್ಗಳನ್ನು ಅವರು ರನ್ ಮಾಡುತ್ತಿದ್ದಾರೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಅಂತಿಮ ಬಳಕೆದಾರರು ಸಾಧ್ಯವಾದಷ್ಟು ಬೇಗ ತಮ್ಮ ಸಾಧನಗಳನ್ನು ನವೀಕರಿಸಲು ನಾವು ಪ್ರೋತ್ಸಾಹಿಸುತ್ತೇವೆ.
ಉಳಿದ ದುರ್ಬಲತೆಗಳಿಗಾಗಿ, ತಯಾರಕರಿಗೆ ಸೂಚನೆ ನೀಡಿದ 90 ದಿನಗಳ ನಂತರ ವಿವರಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸುವ ವೇಳಾಪಟ್ಟಿಯನ್ನು ಅನುಸರಿಸಲಾಗುತ್ತದೆ (ದುರ್ಬಲತೆಗಳ ಕುರಿತು ಮಾಹಿತಿ CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023 ಮತ್ತು-26075 CVE-2023-26076 -9-90 ಈಗ ಬಗ್ ಟ್ರ್ಯಾಕಿಂಗ್ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಲಭ್ಯವಿದೆ ಮತ್ತು ಉಳಿದ XNUMX ಸಮಸ್ಯೆಗಳಿಗೆ, XNUMX ದಿನಗಳ ಕಾಯುವಿಕೆ ಇನ್ನೂ ಅವಧಿ ಮುಗಿದಿಲ್ಲ).
ವರದಿಯಾದ ದೋಷಗಳು CVE-2023-2607* NrmmMsgCodec ಮತ್ತು NrSmPcoCodec ಕೊಡೆಕ್ಗಳಲ್ಲಿ ಕೆಲವು ಆಯ್ಕೆಗಳು ಮತ್ತು ಪಟ್ಟಿಗಳನ್ನು ಡಿಕೋಡ್ ಮಾಡುವಾಗ ಬಫರ್ ಓವರ್ಫ್ಲೋನಿಂದ ಉಂಟಾಗುತ್ತದೆ.
ಅಂತಿಮವಾಗಿ, ನೀವು ಅದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದರೆ ನೀವು ವಿವರಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್ನಲ್ಲಿ.