尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
圖:安全漏洞
鳳凰網科技訊 北京時間1月19日消息,當地時間周五,安全研究人員公布了一處位於一款WiFi晶片組固件上的安全漏洞,該晶片組被部署在多種設備上,受到影響的設備包括:SONY的PS4、微軟的Xbox One、三星Chromebooks以及微軟的Surface等。
由安全研究機構Embedi的研究員丹尼斯·塞利安(Denis Selianin)發現的這處漏洞,會影響實時操作系統(RTOS)——ThreadX,而該系統作為固件被安裝到數以十億計的設備上,包括筆記本電腦、智慧型手機、遊戲設備、路由器和物聯網(IoT)設備。
在今天發布的一份報告中,塞利安描述了如何利用安裝在Marvell Avastar 88W8897無線晶片組上的ThreadX固件,在沒有任何用戶交互的情況下執行了惡意代碼。
研究人員選擇了這種WiFi SoC (system-on-a-chip),因為它是市場上最受歡迎的WiFi晶片組之一,被部署在SONYPlayStation 4、微軟Xbox one、Surface筆記本電腦、三星Chromebook、三星Galaxy J1智慧型手機和Valve SteamLink cast等設備上。
「我已經在固件的某些部分找到了大約4個內存損壞的問題。」塞利安表示,「發現的漏洞之一是ThreadX塊池溢出的特殊情況。在掃描可用網路時,無需用戶交互就可以觸發此漏洞」。
研究人員表示,該固件的功能是每5分鐘自動啟動一次,從而掃描新的WiFi網路。攻擊者所要做的,就是將格式不正確的WiFi數據包發送給任何使用Marvell Avastar WiFi晶片組的設備,等待該功能啟動時,執行惡意代碼並接管該設備。
塞利安說,「該漏洞非同尋常,它提供了一個可以使攻擊者在無線連接的任何狀態下(甚至在設備沒有連接到任何網路的情況下)、以零點擊交互方式對設備發起攻擊的機會。」
根據ThreadX主頁顯示,受到該漏洞影響的設備可能多達62億台,目前關於該漏洞的補丁正在開發當中。(編譯/若水)