海外版本三星 Galaxy S23/24 手機(jī)曝內(nèi)存越界寫入漏洞，黑客可利用特定文件實(shí)現(xiàn)遠(yuǎn)程執(zhí)行代碼

IT之家 1 月 14 日消息，谷歌 Project Zero 團(tuán)隊(duì)發(fā)文，披露了三星海外版本手機(jī)存在的一個高風(fēng)險(xiǎn)內(nèi)存越界寫入（OBW）漏洞 CVE-2024-49415，該漏洞位于 Monkey's Audio（APE）音頻解碼器組件 libsaped.so 中。

IT之家參考報(bào)告獲悉，谷歌團(tuán)隊(duì)在海外版本 Galaxy S23 / S24 手機(jī)中發(fā)現(xiàn)了相關(guān)問題，這些手機(jī)主要預(yù)裝了 Google Messages 應(yīng)用，且默認(rèn)啟用 RCS 功能，黑客可用其他設(shè)備向這些手機(jī)的 Google Messages 應(yīng)用發(fā)送特定音頻文件，即可令手機(jī)的 libsaped.so 組件崩潰，從而實(shí)現(xiàn)遠(yuǎn)程執(zhí)行任意代碼。

谷歌表示，三星已于今年 9 月收到相關(guān)報(bào)告，并在 12 月通過 SMR Dec-2024 Release 1 安全補(bǔ)丁更新進(jìn)行了修復(fù)。

值得注意的是，雖然這一漏洞的 CVSS 風(fēng)險(xiǎn)評分為 8.1，但三星將其評定為“重大”級別。這一決定可能與相關(guān)漏洞無需用戶交互即可觸發(fā)的特性有關(guān)。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。