Google memperingatkan tentang kerentanan RCE yang belum pernah terjadi sebelumnya di modem Samsung Exynos – Tablet & Ponsel – Berita

Tim Project Zero Google menemukan empat kerentanan pada modem Samsung Exynos tertentu yang dapat dieksploitasi dengan nomor telepon pengguna. Samsung belum merilis tambalan untuk kerentanan tersebut.

Kata Proyek Nol bahwa penyerang berpengalaman dapat dengan cepat mengeksploitasi empat kerentanan dan tidak ada tindakan pengguna yang diperlukan untuk mengeksploitasi kerentanan ini. Hanya nomor telepon pengguna yang diperlukan untuk melakukan serangan itu. Tim keamanan belum memberikan detail tentang kerentanan tersebut, antara lain karena belum ditambal oleh Samsung.

Menurut Google, kerentanan termasuk Galaxy S22 versi Eropa dan smartphone A71, A53, A33, A21, A13, A12, A04, M33, M13, dan M12. Beberapa perangkat Vivo juga rentan terhadap kerentanan keamanan, seperti smartphone Google Pixel 6 dan 7. Yang terakhir mengatakan telah merilis tambalan untuk perangkat Pixel dengan pembaruan keamanan Maret 2023. Perangkat dan kendaraan yang dapat dikenakan masing-masing menggunakan chipset Exynos W920 dan Exynos Auto T5123, juga rentan terhadap kerentanan.

Tim Project Zero Google mengungkap kerentanan keamanan setelah 90 hari sejak 2020, terlepas dari apakah perusahaan merilis tambalan atau tidak. Namun, tim dapat menyimpang dari ini jika pengungkapan lebih kondusif bagi penyerang daripada pengguna yang rentan. Project Zero mengatakan sekarang mengungkapkan kerentanan: “karena ada kombinasi yang sangat langka dari jumlah akses yang Anda dapatkan dengan kerentanan ini dan kecepatan eksploit dapat dibuat.” Pengguna yang belum menerima tambalan dapat melindungi diri mereka sendiri dengan menonaktifkan VoLTE dan VoWi-Fi.

Salah satu kerentanan disebut CVE-2023-24033, dan tiga kerentanan lainnya belum memiliki nomor CVE. Tim keamanan yang mencari kerentanan dalam perangkat lunak menemukan empat belas kerentanan lain di modem, tetapi tidak terlalu parah, menurut Google. Pemanfaatannya memerlukan akses lokal ke perangkat atau server jahat. Salah satu kerentanan ini menciptakan a Tumpukan buffer meluap Mungkin dengan 112 sistem smartphone.

Pengguna akhir masih belum memiliki tambalan 90 hari setelah mengirimkan laporan… https://t.co/dkA9kuzTso

-Maddy Stone (@karyawan) 16 Maret 2023