Google’daki Project Zero ekibi kısa bir süre önce Samsung’un Exynos yonga setlerinde başlıca şu alanlarda kullanılan 18 sıfır gün güvenlik açığını buldu ve bildirdi: –
- Mobil cihazlar
- giyilebilir ürünler
- otomobiller
18 sıfır gün güvenlik açığı arasında, internet üzerinden ana banta uzaktan kod yürütülmesini (RCE) etkinleştirdiği için 4 güvenlik açığı en ciddi olarak sınıflandırıldı.
Project Zero araştırmacıları, saldırganın herhangi bir kullanıcı etkileşimi gerektirmeden ve tek koşul olarak yalnızca saldırganın kurbanın telefon numarasını bilmesi koşuluyla, dört güvenlik açığının bir saldırgan tarafından telefonun temel bandından ödün vermek için uzaktan kullanılabileceğini doğrulayan testler yaptı.
Saldırıyı gerçekleştirmek için gerekli olan tek şey, işi bitirmek için kurbanın telefon numarasıdır. Ayrıca deneyimli saldırganların, hedefleri uyarmadan savunmasız cihazları uzaktan ihlal etmek için zahmetsizce istismarlar oluşturması da mümkündür.
Etkilenen Cihazlar
Samsung Semiconductor, bir danışma belgesinde bu güvenlik açıklarının Exynos yonga setlerini etkilediğini ve etkilenen yonga setlerinin öncelikle aşağıdaki cihazlarda kullanıldığını duyurdu: –
- Samsung Galaksi S22
- Samsung Galaksi M33
- Samsung Galaksi M13
- Samsung Galaksi M12
- Samsung Galaksi A71
- Samsung Galaksi A53
- Samsung Galaksi A33
- Samsung Galaksi A21
- Samsung Galaksi A13
- Samsung Galaksi A12
- Samsung Galaksi A04
- s16 yaşıyorum
- s15 yaşıyorum
- s6 yaşıyorum
- X70 yaşıyorum
- X60 yaşıyorum
- X30 yaşıyorum
- Google Piksel 6 serisi
- Google Piksel 7 serisi
- Exynos W920 yonga setini kullanan giyilebilir cihazlar
- Exynos Auto T5123 yonga setini kullanan araçlar
Yama Zaman Çizelgeleri
Yama zaman çizelgesi, üreticiye bağlı olarak tamamen değişecektir. Mart 2023’te CVE-2023-24033’ten etkilenen Pixel cihazlar için bir yama yayınlandı.
Açıklanan Kusurlar
Kalan on dört güvenlik açığından beşi, bu açıklamanın bir parçası olarak açıklanıyor. Ve aşağıda, onlardan bahsetmiştik: –
Bununla birlikte, güvenlik açıklarının geri kalanına henüz başka CVE-ID’leri atanmamıştır. Öte yandan, Proje Sıfır ekibi tarafından belirlenen 90 günlük olağan son tarihi çoktan aşmış olan kusurlar şunlardır:-
- CVE-2023-26072
- CVE-2023-26073
- CVE-2023-26074
- CVE-2023-26075
Bu sorunların kamuoyundan gizlenmesine yönelik katı standartları karşılamaması nedeniyle, şeffaflıklarını sağlamak için sorun izleyicide kamuya açıklanmaktadır.
Bu kümedeki kalan dokuz güvenlik açığının henüz 90 günlük sürelerine ulaşmadığını, ancak hala düzeltilmediyse halka duyurulacağını belirtmek önemlidir.
geçici çözüm
Önlem olarak, etkilenen cihazları olan kullanıcıların, temel bant uzaktan kod yürütme güvenlik açıklarına maruz kalmamaları için, cihaz ayarlarında WiFi aramanın yanı sıra Voice-over-LTE’yi (VoLTE) şimdilik devre dışı bırakmaları önerilir.
Son kullanıcıların, cihazlarının açıklanan ve henüz açıklanmayan güvenlik açıklarını giderebilecek en son sürümleri çalıştırdığından emin olmak için cihazlarını zamanında güncellemeleri önerilir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin