聲明：該文章來自（安全圈）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

根據(jù)GitHub的一份報告，大眾汽車Discover Media信息娛樂系統(tǒng)的漏洞是在2023年2月28日發(fā)現(xiàn)的。

該漏洞可能會使未打補丁的系統(tǒng)遭到拒絕服務(wù)（DoS）攻擊。該漏洞起初是由大眾汽車的用戶發(fā)現(xiàn)的，隨后大眾汽車方面確認了該漏洞，漏洞的標識為CVE-2023-34733。

關(guān)于漏洞詳情

根據(jù)GitHub的報告，發(fā)現(xiàn)并報告該漏洞的人所使用的車型是大眾捷達2021。根據(jù)NIST的報告，該漏洞的評分是6.8，是一個中等嚴重漏洞。

起初該用戶將他的筆記本電腦連接到大眾汽車的USB端口，并用模糊器生成媒體文件。隨后進行模糊測試，以找出大眾汽車媒體系統(tǒng)的漏洞。該實驗是在包括MP3、WMA、WAV等媒體文件上進行的。

該用戶在GitHub上寫道，"由于大眾汽車的媒體播放器比預(yù)期的更強大，我專門為大眾汽車的信息娛樂系統(tǒng)創(chuàng)建了一個單獨的媒體文件模糊器。我每天模糊處理2萬多個媒體文件，經(jīng)過一天的模糊測試，發(fā)現(xiàn)了OGG文件的漏洞"。

然后通過模糊測試識別了一個媒體文件，導(dǎo)致大眾汽車媒體系統(tǒng)中的漏洞被觸發(fā)。這也導(dǎo)致了大眾汽車信息娛樂系統(tǒng)在關(guān)閉后無法打開。

當(dāng)USB插入端口時，媒體文件會自動播放，信息娛樂系統(tǒng)會被強行終止，這個現(xiàn)象可以通過手動重啟大眾汽車信息娛樂系統(tǒng)來解決。

據(jù)觀察，該漏洞可能導(dǎo)致遠程代碼執(zhí)行等安全問題。

大眾汽車對該漏洞的回應(yīng)

該漏洞是在大眾汽車媒體信息娛樂系統(tǒng)軟件版本0876中發(fā)現(xiàn)的。在收到用戶的這份報告后，德國汽車巨頭對該漏洞進行了確認。

大眾汽車給用戶的回復(fù)截圖（照片：GitHub）

該公司讓其事件響應(yīng)小組分析了大眾汽車信息娛樂系統(tǒng)的漏洞，后來又讓研發(fā)部門分析了這個漏洞。隨后他們向上述電子郵件截圖中名為 "zj3t "的用戶確認了該漏洞，并表示該漏洞是一個產(chǎn)品質(zhì)量的問題，會及時改進。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/