聚焦源代码安全,网罗国内外最新资讯!
这些漏洞已经由Qrious Secure、STAR Labs 和 DEVCORE 三家公司的研究员在去年的多伦多 Pwn2Own 大赛上演示,这三家公司为此获得10.5万美元的现金奖励。
这四个漏洞影响 Sonos One Speaker 70.3-35220,它们是:
-
CVE-2023-27352和CVE-2023-27355(CVSS评分8.8):它们是未认证缺陷,可导致网络邻近攻击者在受影响安装程序上执行任意代码。
-
CVE-2023-27353和CVE-2023-27354(CVSS评分6.5):它们是未认证缺陷,可导致网络邻近攻击者在受影响安装程序上泄漏敏感信息。
CVE-2023-27352是在处理 SMB 目录查询命令时造成的,而CVE-2023-27355位于 MPEG-TS解析器中。成功利用这两个漏洞,均可导致攻击者在 root 用户上下文中执行任意代码。
这两个信息泄露漏洞可与系统中的其它缺陷分别组合利用,以提升后的权限实现代码执行。
在2022年12月29日收到漏洞通知后,Sonos 公司在 Sonos S2和S1版本15.1和11.71中修复了这些漏洞。建议用户尽快应用这些补丁,缓解潜在风险。
研究人员发现Google 智能扬声器中的多个漏洞,获奖超10万美元
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):这个Sonos One 扬声器漏洞价值10.5万美元
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论