bencede
New member
Yalnızca Samsung akıllı telefonlar değil: Bazı kritik sıfır gün güvenlik açıklarına sahip Exynos yongaları
Samsung, akıllı telefonlarında veya akıllı saatlerinde yalnızca Exynos serisinden modem yongaları kullanmakla kalmıyor, aynı zamanda Vivo veya Google gibi diğer üreticiler de kullanıyor. Şimdi ise Google’ın Project Zero, araçlarda da kullanılan bu modem çiplerinde 18 sıfır gün açığı buldu. Bu güvenlik açıklarından dördü, harici programların mobil cihazda İnternetten çalışmasına izin verdiği için özellikle kritik olarak sınıflandırılır. Tek yapmanız gereken telefon numarasını bilmek.
Samsung’un Exynos serisi modem yongalarındaki güvenlik açıkları, 2022’nin sonlarında ve 2023’ün başlarında keşfedildi. Dört kritik sıfır gün güvenlik açığı (CVE-2023-24033 ve diğer üç sınıflandırılmamış hata), “temel bant İnternetten uzaktan kod yürütülmesine” (RCE) izin verir ). Bu, saldırganların, cihazın kullanıcısı müdahale edemeden veya fark edemeden, saldırıya uğrayan modemde İnternetten yazılım çalıştırmasına olanak tanır.
Etkilenen Exynos modem yongaları ve cihazları
Samsung, güvenlik güncellemelerinde CVE-2023-24033’ü şu şekilde açıklıyor: “Temel bant yazılımı, SDP’den gelen verileri kontrol eder [Session Description Protocol] Kabul Türü özniteliğinin belirtilen biçim türleri yanlış, bu da Samsung ana bant modeminde hizmet veya kod yürütmenin kesintiye uğramasına neden olabilir.” Etkilenen yongalar, Exynos Modem 5123 ve 5300, Exynos 980 ve 1080 ve Exynos Auto T5123’tür.
Buna dayanarak, Google’ın Project Zero’su aşağıdaki cihazları en savunmasız cihazlar olarak belirlemiştir, ancak diğerleri etkilenebilir:
- Samsung S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 ve A04 serisi akıllı telefonlar,
- Vivo akıllı telefonlar S16, S15, S6, X70, X60 ve X30 serisi,
- Google Piksel 6 ve 7,
- Exynos W920 çipli giyilebilir cihazlar ve
- Exynos T5123 çipli araçlar.
Ancak, etkilenen tüm cihazlar için yamalar henüz mevcut değil. Samsung’un kendisi güvenlik güncellemeleri sağlar, ancak yamaların çoğu henüz halka açık değildir ve kullanıcılar bunları kendileri yükleyemez. Google, Mart 2023 güvenlik güncellemesinde etkilenen Pixel cihazlar için CVE-2023-24033’ü ele aldı. Bu güncelleme hala sistemin kendisi tarafından önerilmiyorsa, Pixel kullanıcıları bu 459 MB güncellemeyi manuel olarak ayarlarda aramalıdır (bunun Pixel 7 Profesyonellerinde olduğu gibi) yazar).
Etkilenen cihazlar için herhangi bir yama olmadığı sürece, Google’ın Project Zero geçici bir çözüm önerir. Kullanıcılar, ayarlarda WLAN telefonunu ve Voice-over-LTE’yi (VoLTE) devre dışı bırakmalıdır. Bu, bu güvenlik açıklarından yararlanma riskini ortadan kaldıracaktır.
Yüksek risk nedeniyle erken tahliye
Bu sıfır gün güvenlik açıkları, güvenlik açığının genişletilmiş uzaktan erişiminin ve bir açıktan yararlanmanın oluşturulma hızının nadir bir kombinasyonu olduğundan, Google’ın Project Zero, bilgileri beklenenden daha önce herkese açık hale getirdi. Google’ın Project Zero’su aslında güvenlik açıklarını gecikmeli olarak, yani güncellemenin kullanıma sunulmasından yalnızca 30 gün sonra yayınlar.
Dört kritik güvenlik açığına ek olarak Google Project Zero, daha az tehlikeli olarak sınıflandırılan on dört güvenlik açığı daha buldu. CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 ve daha CVE kimlikleri olmayan diğer dokuz kişi yine de risk oluşturabilir. Ancak istismar, cihaza veya kötü niyetli bir kablosuz servis sağlayıcıya manuel erişim gerektirecektir.
(fs)
Haberin Sonu