bencede
New member
Atthels, zararlı kodu kabul etmek ve hoparlörleri oluşturmak için Sonos hoparlör sistemlerindeki güvenlik boşluklarını kötüye kullanabilir. Güncellemeler hazır.
Bunlar, Trend Micro'nun sıfır gün (ZDI) girişiminin sonos ile birlikte bilgi yayınladığı üç güvenlik boşluğu. Her üç güvenlik açığı da kritik bir güvenlik riski olarak sınıflandırmayı kaybeder ve sadece kullanılabilir ve önleyici bir kayıt olmadan kullanılabilir.
Sonos: Üç Yüksek Risk Güvenlik Boşluğu
Şu anda kaydedilen güvenlik kayıplarından ilki, SONOS yazılımı üzerine işlemler getirmeden önce bir nesne varsa (CVE-2025-1048, CVSS 8.8Risk “yüksek“). Beklenmedik bir şey, MP3 dosyaları gibi içerik olarak ID3 etiketlerinin işlenmesinde güvenlik için alakalı bir sorundur. (CVE-2025-1049, CVSS 8.8Risk “yüksek“).
Durum HLS çalma listesi verilerinin işlenmesinde benzerdir. Burada da, tahsis edilen bir veri yapısının sonunun arkasına erişimin yazılmasına izin veren verilen kullanıcıların uzunluğunun yeterli bir incelemesi yoktur: “Anacapa” kullanıcı, istemeden Malizia geçiş kodunun yürütülmesine yol açabilir (CVE-2025-1050, CVSS 8.8Risk “yüksek“).
ZDI'nın zayıf yönleri Sonos ERA-300 sistemleri için boşlukları tanımlar. Bununla birlikte, şimdi Sonos'un kamuoyunun erişilebilen bir güvenlik bildirimi, tüm SOOS S1 ve S2 sistemlerinin ve sistemin V16.6 (Build 83.1-61240) ve Sonos S1 Sistemini V11.15.1'i (Build 57.22-61162) duyurduğunu açıklamaktadır. Sonuç olarak, 2024 PWN2OWN etkinliğinin bir parçası olarak İrlanda'da keşfedilen güvenlik açıkları. Sonos talimatları, kullanıcıların mevcut güncellemeleri nasıl yükleyebileceğini tartışır.
Geçen yıl Sonos, yeni Sonos uygulamasının başarısız bir başlangıcıyla savaşmak zorunda kaldı. Yedi nokta önleminden oluşan bir katalog, süreçleri iyileştirmeye ve topluluk güvenini yeniden kazanmaya yardımcı olmalıdır.
(DMK)
Bunlar, Trend Micro'nun sıfır gün (ZDI) girişiminin sonos ile birlikte bilgi yayınladığı üç güvenlik boşluğu. Her üç güvenlik açığı da kritik bir güvenlik riski olarak sınıflandırmayı kaybeder ve sadece kullanılabilir ve önleyici bir kayıt olmadan kullanılabilir.
Sonos: Üç Yüksek Risk Güvenlik Boşluğu
Şu anda kaydedilen güvenlik kayıplarından ilki, SONOS yazılımı üzerine işlemler getirmeden önce bir nesne varsa (CVE-2025-1048, CVSS 8.8Risk “yüksek“). Beklenmedik bir şey, MP3 dosyaları gibi içerik olarak ID3 etiketlerinin işlenmesinde güvenlik için alakalı bir sorundur. (CVE-2025-1049, CVSS 8.8Risk “yüksek“).
Durum HLS çalma listesi verilerinin işlenmesinde benzerdir. Burada da, tahsis edilen bir veri yapısının sonunun arkasına erişimin yazılmasına izin veren verilen kullanıcıların uzunluğunun yeterli bir incelemesi yoktur: “Anacapa” kullanıcı, istemeden Malizia geçiş kodunun yürütülmesine yol açabilir (CVE-2025-1050, CVSS 8.8Risk “yüksek“).
ZDI'nın zayıf yönleri Sonos ERA-300 sistemleri için boşlukları tanımlar. Bununla birlikte, şimdi Sonos'un kamuoyunun erişilebilen bir güvenlik bildirimi, tüm SOOS S1 ve S2 sistemlerinin ve sistemin V16.6 (Build 83.1-61240) ve Sonos S1 Sistemini V11.15.1'i (Build 57.22-61162) duyurduğunu açıklamaktadır. Sonuç olarak, 2024 PWN2OWN etkinliğinin bir parçası olarak İrlanda'da keşfedilen güvenlik açıkları. Sonos talimatları, kullanıcıların mevcut güncellemeleri nasıl yükleyebileceğini tartışır.
Geçen yıl Sonos, yeni Sonos uygulamasının başarısız bir başlangıcıyla savaşmak zorunda kaldı. Yedi nokta önleminden oluşan bir katalog, süreçleri iyileştirmeye ve topluluk güvenini yeniden kazanmaya yardımcı olmalıdır.
(DMK)