ARMv7 處理器內含的記憶體崩潰漏洞,可能導致智慧車輛遭遠端遙控.png

網通大廠 Cisco 的資安研究團隊,日前發表研究報告,指出一個內藏在 ARMv7 處理器中的記憶體崩潰漏洞,可能導致任何使用此處理器的裝置受到駭侵攻擊;特別是智慧汽車很可能被駭侵者遠端遙控。

這個漏洞發生在 ARMv7 內 GNU glibc 2.30.9000 的 memcpy() 函數,在處理記憶體資料時發生的程式漏洞;不但可讓駭侵者遠端執行任意程式碼,甚至在程式已經無法執行的情形下繼續遙控。

Cisco 的資安研究人員,在針對智慧汽車進行各種資安滲透攻擊的測試時,發現這個嵌入在在智慧車控系統中的 web 伺服器存有整數溢位錯誤漏洞;由於這個嵌入式的 web 伺服器可經由車內的 Wi-Fi 網路連結存取,因此只要能進入該無線網路的人,都可以存取該伺服器,進而發動攻擊。

Cisco 在其研究報告中,完整描述了利用這個漏洞進行概念證實攻擊的方法與步驟。

這個漏洞的 CVE 編號被定為 CVE-2020-6069,其危險程度評分為 8.1 分,評級為「高」。

值得注意的是,雖然有許多 Unix 家族作業系統也都內建 GNU glibc 函數庫,但如 RedHat、SUSE 等 Linux 發行版都不受這個 CVE-2020-6069 的影響。

  • CVE編號:CVE-2020-6069
  • 影響版本:ARMv7 各版本

  • 參考連結

https://blog.talosintelligence.com/2020/05/cve-2020-6096.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6096

https://nvd.nist.gov/vuln/detail/CVE-2020-6096

https://www.suse.com/security/cve/CVE-2020-6096/

    twcert 發表在 痞客邦 留言(0) 人氣()