这个Sonos One 扬声器漏洞价值10.5万美元

admin 2023年6月1日09:02:39评论26 views字数 1030阅读3分26秒阅读模式

这个Sonos One 扬声器漏洞价值10.5万美元 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



上周,ZDI发布报告指出,Sonos One 无线扬声器中存在多个漏洞,可导致信息泄露和远程代码执行后果。



这些漏洞已经由Qrious Secure、STAR Labs 和 DEVCORE 三家公司的研究员在去年的多伦多 Pwn2Own 大赛上演示,这三家公司为此获得10.5万美元的现金奖励。

这四个漏洞影响 Sonos One Speaker 70.3-35220,它们是:

  • CVE-2023-27352和CVE-2023-27355(CVSS评分8.8):它们是未认证缺陷,可导致网络邻近攻击者在受影响安装程序上执行任意代码。

  • CVE-2023-27353和CVE-2023-27354(CVSS评分6.5):它们是未认证缺陷,可导致网络邻近攻击者在受影响安装程序上泄漏敏感信息。

CVE-2023-27352是在处理 SMB 目录查询命令时造成的,而CVE-2023-27355位于 MPEG-TS解析器中。成功利用这两个漏洞,均可导致攻击者在 root 用户上下文中执行任意代码。

这两个信息泄露漏洞可与系统中的其它缺陷分别组合利用,以提升后的权限实现代码执行。

在2022年12月29日收到漏洞通知后,Sonos 公司在 Sonos S2和S1版本15.1和11.71中修复了这些漏洞。建议用户尽快应用这些补丁,缓解潜在风险。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

研究人员发现Google 智能扬声器中的多个漏洞,获奖超10万美元

用 Sonos 设备边听音乐边工作?小心泄露个人和公司信息

Nexx 智能设备存在多个漏洞可使黑客打开车库门等,无修复方案

Anker Eufy 智能设备系统易受严重的RCE漏洞影响



原文链接
https://thehackernews.com/2023/05/hackers-win-105000-for-reporting.html

题图:Pexels License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




这个Sonos One 扬声器漏洞价值10.5万美元
这个Sonos One 扬声器漏洞价值10.5万美元

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   这个Sonos One 扬声器漏洞价值10.5万美元 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):这个Sonos One 扬声器漏洞价值10.5万美元

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月1日09:02:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   这个Sonos One 扬声器漏洞价值10.5万美元http://cn-sec.com/archives/1779956.html

发表评论

匿名网友 填写信息