谷歌的Project Zero团队周四发布了一份新的公告,确认它报告了三星在2022年底至2023年初制造的Exynos Modem中的18个零日漏洞。
由Project Zero负责人Tim Willis撰写的博文指出,其中四个漏洞(CVE-2023-24033和其他三个尚未分配CVE-ID)使潜在的攻击者能够执行互联网到基带的远程代码执行(RCE)。
"威利斯解释说:"这四个漏洞允许攻击者在没有用户互动的情况下在基带层面远程控制手机,而且只要求攻击者知道受害者的电话号码。"通过有限的额外研究和开发,我们相信熟练的攻击者将能够迅速创建一个操作性强的漏洞,悄悄地远程控制受影响的设备。"
其余的14个缺陷将不那么严重,因为为了被利用,它们需要一个恶意的移动网络运营商或一个对设备有本地访问权的攻击者来执行RCE。
根据三星的产品安全更新网页,受零风险影响的Exynos芯片组名单包括几个设备。谷歌估计,包括S22系列在内的几款三星智能手机可能受到影响。vivo的几款手持设备也在名单上,谷歌Pixel 6和Pixel 7系列以及所有使用Exynos Auto T5123芯片组的车辆也在名单上。
谷歌在8月安全公告中修补了关键的安卓蓝牙漏洞
在博文中,威利斯解释说,个别制造商负责修复上述漏洞--谷歌已经修补了影响Pixel手机的漏洞。
"与此同时,受影响设备的用户可以通过在设备设置中关闭WiFi通话和VoLTE,来保护自己免受本帖中提到的基带远程代码执行漏洞的影响,"该帖子写道。
"一如既往,我们鼓励最终用户尽快更新他们的设备,以确保他们运行最新的构建,修复已披露和未披露的安全漏洞。"
这一披露是在Check Point软件公司的安全研究人员分享了有关针对韩国受害者的新的安卓网络钓鱼(语音钓鱼)恶意软件工具的信息之后几天。
