Vulnerabilidades 0day en chipsets Exynos de Samsung

Fecha de publicación: 17/03/2023

Importancia:
Crítica

Recursos afectados:

Entre los modelos de chipsets Exynos afectados se encuentran:

  • Exynos 850,
  • Exynos 980,
  • Exynos 1080,
  • Exynos 1280,
  • Exynos 2200,
  • Exynos Modem 5123,
  • Exynos Modem 5300,
  • Exynos Auto T5123.

Según la información obtenida y recopilada por Project Zero de webs públicas que asignan chipsets a dispositivos, entre los productos potencialmente afectados se encuentran:

  • dispositivos móviles Samsung, incluidos los de las series S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 y A04;
  • dispositivos móviles de Vivo, incluidos los de las series S16, S15, S6, X70, X60 y X30;
  • dispositivos de las series Pixel 6 y 7 de Google;
  • cualquier wearable que utilice el chipset Exynos W920;
  • cualquier vehículo que utilice el chipset Exynos Auto T5123.

Descripción:

Project Zero, el equipo interno especializado en seguridad de Google, ha publicado 18 de vulnerabilidades 0day en los módems Samsung Exynos, siendo las 4 de mayor severidad las que permiten realizar una ejecución remota de código (RCE), mientras que las 14 restantes requieren acceso local al dispositivo por parte del atacante.

Solución:

Se recomienda contactar con cada Product Manager de Samsung, según el producto afectado, y actualizar los dispositivos afectados lo antes posible.

Para los dispositivos Pixel afectados, Google ya ha corregido una de las vulnerabilidades en su boletín de marzo 2023.

Detalle:

  • Las 4 vulnerabilidades con mayor severidad (CVE-2023-24033 y otras 3 sin CVE asignado aún) podrían permitir la ejecución remota de código de Internet a banda base. Las pruebas realizadas por Project Zero confirman que esas 4 vulnerabilidades permiten a un atacante comprometer remotamente un dispositivo a nivel de banda base sin interacción del usuario, y sólo requieren que el atacante conozca el número de teléfono de la potencial víctima.
  • Las 14 vulnerabilidades restantes de menor severidad (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 y otras 9 sin CVE asignado aún) requieren acceso local al dispositivo afectado por parte de un operador de red móvil malintencionado o un atacante para poder explotarlas. Las 5 vulnerabilidades con CVE asignado son de tipo desbordamiento de búfer y se producen por una validación incorrecta de parámetros.

Encuesta valoración

Etiquetas:
0day, Actualización, Comunicaciones, Móviles, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.