SYNC3 是一款信贷信息娱乐系统,支持车内 WiFi 热点、电话连接、语音命令、第三方应用等。该系统用于如下车型中:
-
Ford EcoSport (2021 – 2022)
-
Ford Escape (2021 – 2022)
-
Ford Bronco Sport (2021 – 2022)
-
Ford Explorer (2021 – 2022)
-
Ford Maverick (2022)
-
Ford Expedition (2021)
-
Ford Ranger (2022)
-
Ford Transit Connect (2021 – 2022)
-
Ford Super Duty (2021 – 2022)
-
Ford Transit (2021 – 2022)
-
Ford Mustang (2021 – 2022)
-
Ford Transit CC-CA (2022)
该漏洞的编号为CVE-2023-29468,位于集成到车载娱乐系统中的 WiFi 子系统的 WL18xx MCP 驱动中,可导致位于WiFi范围内的攻击者通过特殊构造的框架触发缓冲区溢出漏洞。
福特发布安全公告指出,“处于易受攻击设备无线范围内的攻击者能够覆写执行 MCP 驱动的主机处理器内存。” 福特公司发现该 WiFi 缺陷后立即采取措施进行验证、预测影响并开发缓解措施。福特在媒体门户中发布声明表示不久将发布软件更新,用户可加载到 USB 中并安装在车辆中,“不久,福特将发布在线软件补丁,供用户通过USB进行下载安装。暂时,担心该漏洞的客户可通过 SYNC 3车载娱乐系统的设置目录关闭WiFi功能。”
为了打消客户顾虑,福特还指出该漏洞的利用并不容易,不过即使在这种不可能的场景下,也不会将目标车辆的安全置于风险中。福特公司解释称,“截止目前,并未发现漏洞遭利用的证据,而利用该漏洞要求具有深厚的专业性并且需要物理靠近已打火且开启WiFi 的车辆。调查还发现,即使可能不会发生,但如果该漏洞遭利用,则不会影响车辆乘员的安全性,因为该车载娱乐系统受到防火墙控制保护。”
最后,福特鼓励在车辆中发现漏洞的安全研究员通过该公司的 HackerOne 平台直接提交漏洞报告,截止目前,该公司已通过该平台修复了近2500个 bug。
https://www.bleepingcomputer.com/news/security/ford-says-cars-with-wifi-vulnerability-still-safe-to-drive/
题图:Pixabay License
原文始发于微信公众号(代码卫士):福特车载娱乐系统中存在缓冲溢出漏洞,可导致远程代码执行
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论