根据GitHub的一份报告,大众汽车Discover Media信息娱乐系统的漏洞是在2023年2月28日发现的。
该漏洞可能会使未打补丁的系统遭到拒绝服务(DoS)攻击。该漏洞起初是由大众汽车的用户发现的,随后大众汽车方面确认了该漏洞,漏洞的标识为CVE-2023-34733。
关于漏洞详情
根据GitHub的报告,发现并报告该漏洞的人所使用的车型是大众捷达2021。根据NIST的报告,该漏洞的评分是6.8,是一个中等严重漏洞。
起初该用户将他的笔记本电脑连接到大众汽车的USB端口,并用模糊器生成媒体文件。随后进行模糊测试,以找出大众汽车媒体系统的漏洞。该实验是在包括MP3、WMA、WAV等媒体文件上进行的。
该用户在GitHub上写道,"由于大众汽车的媒体播放器比预期的更强大,我专门为大众汽车的信息娱乐系统创建了一个单独的媒体文件模糊器。我每天模糊处理2万多个媒体文件,经过一天的模糊测试,发现了OGG文件的漏洞"。
然后通过模糊测试识别了一个媒体文件,导致大众汽车媒体系统中的漏洞被触发。这也导致了大众汽车信息娱乐系统在关闭后无法打开。
当USB插入端口时,媒体文件会自动播放,信息娱乐系统会被强行终止,这个现象可以通过手动重启大众汽车信息娱乐系统来解决。
据观察,该漏洞可能导致远程代码执行等安全问题。
大众汽车对该漏洞的回应
该漏洞是在大众汽车媒体信息娱乐系统软件版本0876中发现的。在收到用户的这份报告后,德国汽车巨头对该漏洞进行了确认。
大众汽车给用户的回复截图(照片:GitHub)
该公司让其事件响应小组分析了大众汽车信息娱乐系统的漏洞,后来又让研发部门分析了这个漏洞。随后他们向上述电子邮件截图中名为 "zj3t "的用户确认了该漏洞,并表示该漏洞是一个产品质量的问题,会及时改进。