Zero Day Initiative-ի (ZDI)-ի կողմից հրապարակված զեկույցում նշվում է, որ Sonos One անլար բարձրախոսներում հայտնաբերված անվտանգության բազմաթիվ խոցելիություններ կարող են շահագործվել տեղեկատվության բացահայտման և կոդերի remote գործարկման համար:
Անցյալ տարեվերջին Տորոնտոյում անցկացված Pwn2Own հաքերային մրցույթում՝ Qrious Secure-ից, STAR Labs-ից և DEVCORE-ից երեք տարբեր թիմեր 105,000 դոլար դրամական պարգևավճարի դիմաց ցուցադրեցին բացահայտված խոցելիությունները:
Չորս հիմնական խոցելիություններ, որոնք ազդում են Sonos One Speaker 70.3-35220-ի վրա՝
CVE-2023-27352-ը չարաշահվում է, երբ կատարվում են SMB directory query-ի հրամանները, մինչդեռ CVE-2023-27355-ը ընդգրկվում է միայն MPEG-TS parser-ում:
Երկու խոցելիությունների հաջող շահագործումը հարձակվողին թույլ կտա կամայական կոդ գործարկել root user-երի համատեքստում:
Տվյալների բացահայտման երկու խոցելիություններն էլ կարող են առանձին-առանձին զուգակցվել համակարգերում առկա այլ խոցելիությունների հետ՝ մի շարք արտոնություններով կոդի վերջնական կատարման հասնելու համար:
2022 թվականի դեկտեմբերի 29-ին կատարված բացահայտումների ֆոնին բոլոր օգտատերերին խորհուրդ է տրվում կիրառել ամենավերջին patch-երը՝ հնարավոր բոլոր ռիսկերը մեղմելու համար:
Աղբյուրը՝ https://thehackernews.com/
