近日,谷歌Project Zero團(tuán)隊(duì)發(fā)布了一篇報(bào)告,披露了三星海外版本Galaxy S23/Galaxy S24手機(jī)中存在的一個(gè)高風(fēng)險(xiǎn)內(nèi)存越界寫(xiě)入漏洞,漏洞編號(hào)為CVE-2024-49415。據(jù)悉,該漏洞位于手機(jī)內(nèi)置的Monkey’s Audio(APE)音頻解碼器組件libsaped.so中,黑客可以通過(guò)發(fā)送特定音頻文件遠(yuǎn)程執(zhí)行任意代碼。
據(jù)了解,這一漏洞主要影響預(yù)裝了Google Messages應(yīng)用并默認(rèn)啟用RCS功能的海外版Galaxy S23/24手機(jī)。黑客只需利用其他設(shè)備向這些手機(jī)的Google Messages應(yīng)用發(fā)送特定音頻文件,即可觸發(fā)漏洞,導(dǎo)致libsaped.so組件崩潰,進(jìn)而實(shí)現(xiàn)遠(yuǎn)程執(zhí)行代碼。
谷歌表示,三星已于今年9月收到相關(guān)漏洞報(bào)告,并在12月通過(guò)SMR Dec-2024 Release 1安全補(bǔ)丁更新進(jìn)行了修復(fù)。盡管該漏洞的CVSS風(fēng)險(xiǎn)評(píng)分為8.1,但三星仍將其評(píng)定為“重大”級(jí)別,這可能與漏洞無(wú)需用戶(hù)交互即可觸發(fā)的特性有關(guān)。
原創(chuàng)文章,作者:三星,如若轉(zhuǎn)載,請(qǐng)注明出處:http://www.bdzhitong.com/article/702796.html
