研究人员披露了三星一个现已修复的零点击漏洞的细节

鹏鹏同学 黑猫安全 2025-01-12 23:05

Google Project Zero研究人员披露了三星一个现已修复的零点击漏洞的细节，这个漏洞被追踪为CVE-2024-49415（CVSS分数：8.1），影响三星设备。这是一个libsaped.so prior to SMR Dec-2024 Release 1中的出界写入问题，它允许远程攻击者执行任意代码。该漏洞于2024年9月21日报告，影响Android 12、13、14版本的设备。

advisory中写道：“libsaped.so prior to SMR Dec-2024 Release 1中的出界写入问题允许远程攻击者执行任意代码。补丁添加了正确的输入验证。”该漏洞由Google Project Zero研究员Natalie Silvanovich报告，她发现该漏洞影响三星Galaxy S23和S24手机。该漏洞与Google Messages的转录服务相关。当富媒体服务（RCS）启用时，服务会自动对 incoming 音频消息本地解码，使得潜在的漏洞exploit无需用户交互。

Natalie Silvanovich在Twitter上说：“这个问题显示了一个fun新的攻击面。Android RCS本地转录 incoming 媒体，使得音频编解码器现在完全可远程访问。这是一个三星S24编解码器中的一个bug。”她继续写道：“Monkey’s Audio（APE）解码器在三星S24中存在一个出界写入bug。libsaped.so中的saped_rec函数将写入由C2媒体服务分配的dmabuf，该dmabuf总是大小为0x120000。然而，libsapedextractor从输入中提取的blocksperframe值也被限制到0x120000，saped_rec可以写入到3 * blocksperframe字节，如果输入的字节_per_sample为24。这意味着，如果输入APE文件具有大 blocksperframe 大小，可以导致该buffer溢出。”“请注意，这是一个三星S24中的完全可远程（0-click）bug，如果Google Messages配置为RCS（该设备的默认配置），因为转录服务在用户与消息交互前对 incoming 音频进行解码。”攻击者可以通过发送 specially crafted 音频消息到启用RCS的设备上，导致设备的媒体编解码过程（samsung.software.media.c2）崩溃。研究员注意到该漏洞会溢出DMA缓冲区，但其exploitability不确定，因为非DMA数据似乎被分配到邻近缓冲区中。

报告结论写道：“我在三星S23和S24上测试了这个bug，both appear to be affected。我没有测试它在其他设备上。”2024年10月，Google Threat Analysis Group（TAG）警告了一个三星 zero-day 漏洞，追踪为CVE-2024-44068（CVSS分数：8.1），该漏洞在野外被exploit。该漏洞是一个use-after-free问题，攻击者可以通过该漏洞来在可疑 Android 设备上 escalate 权限。该漏洞位于三星移动处理器中，根据专家们的说法，该漏洞已经与其他漏洞组合起来，实现在可疑设备上的任意代码执行。三星已在2024年10月发布了安全更新来解决漏洞。