根據(jù)GitHub的一份報(bào)告，大眾汽車Discover Media信息娛樂系統(tǒng)的漏洞是在2023年2月28日發(fā)現(xiàn)的。

該漏洞可能會(huì)使未打補(bǔ)丁的系統(tǒng)遭到拒絕服務(wù)（DoS）攻擊。該漏洞起初是由大眾汽車的用戶發(fā)現(xiàn)的，隨后大眾汽車方面確認(rèn)了該漏洞，漏洞的標(biāo)識(shí)為CVE-2023-34733。

關(guān)于漏洞詳情

根據(jù)GitHub的報(bào)告，發(fā)現(xiàn)并報(bào)告該漏洞的人所使用的車型是大眾捷達(dá)2021。根據(jù)NIST的報(bào)告，該漏洞的評(píng)分是6.8，是一個(gè)中等嚴(yán)重漏洞。

起初該用戶將他的筆記本電腦連接到大眾汽車的USB端口，并用模糊器生成媒體文件。隨后進(jìn)行模糊測試，以找出大眾汽車媒體系統(tǒng)的漏洞。該實(shí)驗(yàn)是在包括MP3、WMA、WAV等媒體文件上進(jìn)行的。

該用戶在GitHub上寫道，"由于大眾汽車的媒體播放器比預(yù)期的更強(qiáng)大，我專門為大眾汽車的信息娛樂系統(tǒng)創(chuàng)建了一個(gè)單獨(dú)的媒體文件模糊器。我每天模糊處理2萬多個(gè)媒體文件，經(jīng)過一天的模糊測試，發(fā)現(xiàn)了OGG文件的漏洞"。

然后通過模糊測試識(shí)別了一個(gè)媒體文件，導(dǎo)致大眾汽車媒體系統(tǒng)中的漏洞被觸發(fā)。這也導(dǎo)致了大眾汽車信息娛樂系統(tǒng)在關(guān)閉后無法打開。

當(dāng)USB插入端口時(shí)，媒體文件會(huì)自動(dòng)播放，信息娛樂系統(tǒng)會(huì)被強(qiáng)行終止，這個(gè)現(xiàn)象可以通過手動(dòng)重啟大眾汽車信息娛樂系統(tǒng)來解決。

據(jù)觀察，該漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行等安全問題。

大眾汽車對(duì)該漏洞的回應(yīng)

該漏洞是在大眾汽車媒體信息娛樂系統(tǒng)軟件版本0876中發(fā)現(xiàn)的。在收到用戶的這份報(bào)告后，德國汽車巨頭對(duì)該漏洞進(jìn)行了確認(rèn)。

大眾汽車給用戶的回復(fù)截圖（照片：GitHub）

該公司讓其事件響應(yīng)小組分析了大眾汽車信息娛樂系統(tǒng)的漏洞，后來又讓研發(fā)部門分析了這個(gè)漏洞。隨后他們向上述電子郵件截圖中名為 "zj3t "的用戶確認(rèn)了該漏洞，并表示該漏洞是一個(gè)產(chǎn)品質(zhì)量的問題，會(huì)及時(shí)改進(jìn)。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場：https://www.ijiandao.com/