技術支援
文件
登錄
聯繫我們
三星智能手機受到六個被利用漏洞的影響
奧班拉·奧佩耶米
實施期間: 2023年7月13 日 - TuxCare專家團隊
影響三星行動裝置的六個漏洞已添加到美國網路安全和基礎設施安全域 (CISA) 的已知漏洞目錄中。三星在 2021 年解決了所有漏洞,但它們很可能被商業間諜軟體供應商利用。
這些漏洞包括;CVE-2021-25487,數據機介面驅動程式中的越界讀取,可能導致任意代碼執行。CISA的國家漏洞資料庫(NVD)警告根據CVSS評分將其評為「高嚴重性」,但三星將其歸類為「中等」嚴重性。CVE-2021-25489 是描述的另一個漏洞,即數據機介面驅動程式中的一個低嚴重性格式字串缺陷,可導致拒絕服務 (DoS) 事件。
其他包括 CVE-2021-25394 和 CVE-2021-25395,即 MFC 充電器驅動程式中中等嚴重程度的釋放后使用錯誤。這些已由三星於 2021 年 5 月修復。其餘兩個漏洞 CVE-2021-25371 和 CVE-2021-25372 都是中等嚴重性問題,它們會影響 DSP 驅動程式,並分別涉及載入任意 ELF 檔和越界訪問。三星於 2021 年 3 月修補了這些漏洞。
沒有關於漏洞被利用的公開報告,但很可能商業間諜軟體供應商已經利用了它們,谷歌支援這一說法,有證據表明這些漏洞已被商業間諜軟體供應商利用。
谷歌引用了谷歌零項目研究員麥迪·斯通(Maddie Stone)的一條推文,他證實三星的所有漏洞都被確定為同一研究的一部分,並被列入谷歌2021年的零日漏洞利用追蹤器。谷歌此前透露了三個可比的三星手機漏洞的信息,這些漏洞與 2021 年的 CVE 被一家未知的間諜軟體供應商利用,儘管它們仍被視為零日漏洞。這三個缺陷已於 2021 年 3 月得到解決。
這不是惡意軟體商家第一次瞄準三星手機。Google 發佈了三個相關的三星手機漏洞的詳細資訊,其中包含 2021 年的 CVE,這些漏洞於 2022 年 11 月被未知間諜軟體供應商利用。
這篇文章的來源包括 《安全週刊》上的一篇文章。
