知識星球根據Embedi安全研究專家Denis Selianin今天披露的報告,Marvell Avastar 88W8897無線晶片組韌體存在安全漏洞,導致全球數十億臺使用該晶片的筆記本、智慧手機、遊戲裝置、路由器和物聯網裝置存在安全隱患。
在報告中,Selianin描述瞭如何在不需要使用者任何互動的情況下,利用88W8897無線晶片組上安裝的ThreadX韌體來執行惡意程式碼。ThreadX是一種實時作業系統(RTOS),已經作為數十億臺裝置的韌體。
研究人員選擇這款WiFi SoC(system-on-a-chip),是因為88W8897是目前市場上最受歡迎的WiFi晶片組之一,被廣泛部署於PlayStation 4、Xbox One、微軟Surface系列膝上型電腦、三星Chromebook系列、三星Galaxy J1手機和Valve SteamLink直播裝置等等。
Selianin表示:“我已經設法在該韌體的部分程式碼中發現了4個記憶體損壞問題。發現的漏洞之一就是ThreadX塊池上限溢位的特殊情況。在掃描可用網路時,無需使用者互動即可觸發此漏洞。”研究人員說,掃描新WiFi網路的韌體功能每五分鐘自動啟動一次,這使得入侵變得非常簡單。攻擊者所要做的就是向任何使用Marvell Avastar WiFi晶片組的裝置傳送格式錯誤的WiFi資料包,等到該功能啟動,執行惡意程式碼並接管裝置。
原文連結(包含影片,多圖):https://www.cnbeta.com/articles/tech/810355.htm
* 來源:cnBeta.COM
更多資訊
◈ 中期選舉後 美國DNC表示再次受到俄羅斯駭客釣魚攻擊
http://t.cn/E5JbuEX
◈ 蘋果力捧隱私保護 是真情還是詭辯?
http://t.cn/E5JbDbz
◈ 拼多多平臺漏洞被盜數千萬優惠券:已修複並報案
http://t.cn/E5JGhON
◈ 菲律賓金融服務公司資料洩露 影響90萬客戶
http://t.cn/E5JG2dv
(資訊來源於網路,安華金和蒐集整理)
