சுரண்டப்பட்டால், இந்த குறைபாடுகள் தாக்குபவர்கள் முக்கியமான தகவல்களுக்கு அங்கீகரிக்கப்படாத அணுகலைப் பெற அனுமதிக்கலாம் அல்லது பொதுவாக சிக்கல்களை ஏற்படுத்தும்
கூகுள் குழுவைச் சேர்ந்த ஆராய்ச்சியாளர்கள் திட்டம் ஜீரோ, வெளியிடப்பட்டது சமீபத்தில் ஒரு வலைப்பதிவு இடுகை மூலம், தி 18 பாதிப்புகள் கண்டறியப்பட்டது கண்டறியப்பட்டது en சாம்சங் மோடம்கள் Exynos 5G/LTE/GSM.
கூகிள் ப்ராஜெக்ட் ஜீரோ பிரதிநிதிகளின் கூற்றுப்படி, சில கூடுதல் ஆராய்ச்சிகளுக்குப் பிறகு, திறமையான தாக்குபவர்கள், பாதிக்கப்பட்டவரின் தொலைபேசி எண்ணை மட்டும் தெரிந்துகொண்டு, வயர்லெஸ் தொகுதி அளவில் ரிமோட் கண்ட்ரோலைப் பெற அனுமதிக்கும் ஒரு வேலைச் சுரண்டலை விரைவாகத் தயாரிக்க முடியும். பயனருக்குத் தெரியாமல் தாக்குதல் நடத்தப்படலாம் மற்றும் பயனரிடமிருந்து எந்த நடவடிக்கையும் தேவையில்லை, இது கண்டறியப்பட்ட சில பாதிப்புகளை முக்கியமானதாக ஆக்குகிறது.
தி நான்கு மிகவும் ஆபத்தான பாதிப்புகள் (சி.வி.இ -2023-24033) பேண்ட் சிப் மட்டத்தில் குறியீடு செயல்படுத்தலை அனுமதிக்கவும் அடித்தளம் வெளிப்புற இணைய நெட்வொர்க்குகளின் கையாளுதல் மூலம்.
2022 ஆம் ஆண்டின் பிற்பகுதியிலும் 2023 ஆம் ஆண்டின் முற்பகுதியிலும், சாம்சங் செமிகண்டக்டரால் தயாரிக்கப்பட்ட எக்ஸினோஸ் மோடம்களில் பதினெட்டு பூஜ்ஜிய நாள் பாதிப்புகள் இருப்பதாக புராஜெக்ட் ஜீரோ அறிவித்தது. இந்த பதினெட்டு பாதிப்புகளில் மிகக் கடுமையான நான்கு பாதிப்புகள் (CVE-2023-24033 மற்றும் இன்னும் CVE-IDகள் ஒதுக்கப்படாத மற்ற மூன்று பாதிப்புகள்) இணையத்திலிருந்து பேஸ்பேண்டிற்கு ரிமோட் குறியீட்டை செயல்படுத்த அனுமதித்தது.
மீதமுள்ள 14 பாதிப்புகளில், அது குறிப்பிடப்பட்டுள்ளது குறைந்த தீவிரத்தன்மை கொண்ட, தாக்குதலுக்கு மொபைல் நெட்வொர்க் ஆபரேட்டரின் உள்கட்டமைப்புக்கான அணுகல் அல்லது பயனரின் சாதனத்திற்கான உள்ளூர் அணுகல் தேவைப்படுகிறது. கூகுள் பிக்சல் சாதனங்களுக்கான மார்ச் ஃபார்ம்வேர் புதுப்பிப்பில் சரி செய்ய முன்மொழியப்பட்ட CVE-2023-24033 பாதிப்பைத் தவிர, சிக்கல்கள் தீர்க்கப்படாமல் உள்ளன.
இதுவரை, CVE-2023-24033 பாதிப்பு பற்றி அறியப்பட்ட ஒரே விஷயம் என்னவென்றால், அமர்வு விளக்க நெறிமுறை (SDP) செய்திகளில் அனுப்பப்படும் ஏற்றுக்கொள்ளும் வகை பண்புக்கூறின் தவறான வடிவமைப்பால் இது ஏற்படுகிறது.
ப்ராஜெக்ட் ஜீரோவின் சோதனையானது, இந்த நான்கு பாதிப்புகள், பயனர் தொடர்பு இல்லாமல் பேஸ்பேண்ட் மட்டத்தில் ஒரு ஃபோனை ரிமோட் மூலம் சமரசம் செய்ய தாக்குபவர் அனுமதிக்கிறது, மேலும் தாக்குபவர் பாதிக்கப்பட்டவரின் ஃபோன் எண்ணை மட்டும் தெரிந்து கொள்ள வேண்டும். வரையறுக்கப்பட்ட கூடுதல் ஆராய்ச்சி மற்றும் மேம்பாட்டுடன், திறமையான தாக்குபவர்கள், பாதிக்கப்பட்ட சாதனங்களை அமைதியாகவும் தொலைவிலிருந்தும் சமரசம் செய்வதற்கான செயல்பாட்டுச் சுரண்டலை விரைவாக உருவாக்க முடியும் என்று நாங்கள் நம்புகிறோம்.
சாம்சங் எக்ஸினோஸ் சில்லுகள் பொருத்தப்பட்ட சாதனங்களில் பாதிப்புகள் வெளிப்படுகின்றனசாதனங்களுக்கு சிப்செட்களை ஒதுக்கும் பொது இணையதளங்களின் தகவலின் அடிப்படையில், பாதிக்கப்பட்ட தயாரிப்புகளில் பின்வருவன அடங்கும்:
- சாம்சங் மொபைல் சாதனங்கள், S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 மற்றும் A04 தொடர்கள்;
- S16, S15, S6, X70, X60 மற்றும் X30 தொடர் உள்ளிட்ட Vivo மொபைல் சாதனங்கள்;
- கூகுளின் பிக்சல் 6 மற்றும் பிக்சல் 7 தொடர் சாதனங்கள்; மற்றும்
- Exynos Auto T5123 சிப்செட்டைப் பயன்படுத்தும் எந்த வாகனமும்.
உற்பத்தியாளர்கள் பாதிப்புகளை சரிசெய்யும் வரை, இது பரிந்துரைக்கப்படுகிறது பயனர்களுக்கு VoLTE ஆதரவை முடக்குகிறது (Voice-over-LTE) மற்றும் Wi-Fi அழைப்பு செயல்பாடு அமைப்புகளில் உள்ளது. இந்த அமைப்புகளை முடக்குவது, இந்த பாதிப்புகளைப் பயன்படுத்திக் கொள்ளும் அபாயத்தை நீக்கும்.
பாதிப்புகளின் ஆபத்து காரணமாக மற்றும் ஒரு சுரண்டலின் விரைவான தோற்றத்தின் யதார்த்தம், மிகவும் ஆபத்தான 4 பிரச்சனைகளுக்கு விதிவிலக்கு அளிக்க கூகுள் முடிவு செய்துள்ளது மற்றும் பிரச்சனைகளின் தன்மை பற்றிய தகவல்களை வெளியிடுவதை ஒத்திவைத்தல்.
எப்பொழுதும் போல, இறுதிப் பயனர்கள், வெளிப்படுத்தப்பட்ட மற்றும் வெளியிடப்படாத பாதுகாப்புக் குறைபாடுகளைச் சரிசெய்யும் சமீபத்திய உருவாக்கங்களை அவர்கள் இயக்குவதை உறுதிசெய்ய, முடிந்தவரை விரைவில் தங்கள் சாதனங்களைப் புதுப்பிக்குமாறு ஊக்குவிக்கிறோம்.
மீதமுள்ள பாதிப்புகளுக்கு, உற்பத்தியாளருக்கு அறிவிக்கப்பட்ட 90 நாட்களுக்குப் பிறகு விவரங்களை வெளிப்படுத்தும் அட்டவணை பின்பற்றப்படும் (பாதிப்புகள் பற்றிய தகவல் CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023 CVE-26075-2023 -26076-9 இப்போது பிழை கண்காணிப்பு அமைப்பில் கிடைக்கிறது, மீதமுள்ள 90 சிக்கல்களுக்கு, XNUMX நாள் காத்திருப்பு இன்னும் காலாவதியாகவில்லை).
NrmmMsgCodec மற்றும் NrSmPcoCodec கோடெக்குகளில் சில விருப்பங்கள் மற்றும் பட்டியல்களை டிகோட் செய்யும் போது CVE-2023-2607* பாதிப்புகள் ஏற்படுகின்றன.
இறுதியாக, நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால் நீங்கள் விவரங்களை சரிபார்க்கலாம் பின்வரும் இணைப்பில்.