多個三星移動設備漏洞可讓攻擊者執行任意代碼

在最新網絡安全更新中，三星宣布修補了其移動設備中的 25 個漏洞，旨在增強其抵御潛在的代碼執行和權限升級攻擊的能力。

這是三星持續增強智能手機和平板電腦安全性的一部分舉措，以此確保用戶的安全和隱私。

這些漏洞被確定為三星漏洞和暴露(SVE)項目。這些缺陷涉及三星設備的各個組件，包括操作系統、固件以及三星開發的某些專有軟件。這些漏洞可能允許惡意分子在設備上執行任意代碼或提升其權限，從而獲取對敏感信息或系統功能的未經授權的訪問。

三星對這些安全威脅迅速響應，通過在 2024 年 5 月的安全維護版本 (SMR) 中包含了這 25 個 SVE 項目的補丁，三星已采取主動措施來減輕與這些漏洞相關的風險。

已修復的一些特定安全缺陷的詳細信息

SVE-2023-1778 (CVE-2024-20866)

這是安裝向導中的身份驗證繞過漏洞，允許未經授權的用戶繞過設備設置身份驗證機制。該漏洞的補丁涉及在安裝過程中刪除不必要的互聯網訪問，以防止未經授權的訪問。

SVE-2023-2193 (CVE-2024-20855)

此缺陷是多任務框架內的不當訪問控制問題。它允許未經授權的用戶訪問和操縱多任務功能，從而導致權限升級攻擊。該更新通過實施更嚴格的訪問控制來糾正這一問題。

SVE-2023-2265 (CVE-2024-20856)

三星安全文件夾中的一個不正確的身份驗證漏洞已修復。此缺陷允許攻擊者繞過身份驗證措施并訪問存儲在安全文件夾中的敏感信息。

SVE-2024-0092 (CVE-2024-20861) 和 SVE-2024-0096 (CVE-2024-20862)

SveService 中的這些相關漏洞分別包括釋放后使用問題和越界寫入缺陷。如果被利用，兩者都可能導致任意代碼執行。這些補丁解決了這些內存損壞問題，防止了此類漏洞的發生。

SVE-2024-0234 (CVE-2024-20865)

這是引導加載程序中的身份驗證繞過，以前允許物理攻擊者刷新任意圖像。該補丁添加了適當的驗證檢查，以防止未經授權的刷新，從而增強設備啟動過程的安全性。

SVE-2024-0357 (CVE-2024-20864)

DarManagerService 中的不當訪問控制漏洞已得到糾正。此缺陷允許對 DarManagerService 進行未經授權的訪問，從而導致進一步的利用。

修補的漏洞是安全更新更廣泛的一部分，該更新還包含谷歌的修復程序，解決與 Android 操作系統相關的問題。三星和谷歌之間的這種合作方式確保三星設備不僅可以收到針對專有問題的補丁，還可以從 Android 平臺提供的更廣泛的安全增強功能中受益。

三星敦促其移動設備的所有用戶將其軟件更新到最新版本，以便享受這些安全增強功能的防護。

參考及來源：https://gbhackers.com/25-flaws-patched-samsung/

來源：嘶吼專業版