ソースコードのセキュリティを重視し、国内外の最新情報を収集!
コンパイル: コードガード
Fordは、FordとLincolnの多くの車で使用されているSYNC3車載エンターテイメントシステムにバッファオーバーフローの脆弱性が存在し、リモートでコードが実行される結果を招く可能性があると警告したが、車両の運転の安全性には影響しないと述べた。
SYNC3 は、車内 WiFi ホットスポット、電話接続、音声コマンド、サードパーティ アプリなどをサポートするクレジット インフォテインメント システムです。このシステムは以下の車両に使用されています。
フォード エコスポーツ (2021 – 2022)
フォード エスケープ (2021 – 2022)
フォード ブロンコ スポーツ (2021 – 2022)
フォード エクスプローラー (2021 – 2022)
フォード マーベリック (2022)
フォード遠征 (2021)
フォード レンジャー (2022)
フォード トランジット コネクト (2021 – 2022)
フォード スーパーデューティ (2021 – 2022)
フォード トランジット (2021 – 2022)
フォード マスタング (2021 – 2022)
フォード トランジット CC-CA (2022)
近くの攻撃者
CVE-2023-29468 の番号が付けられたこの脆弱性は、カー エンターテインメント システムに統合されている WiFi サブシステムの WL18xx MCP ドライバーに存在しており、WiFi 範囲内の攻撃者が特別に構築されたフレームワークを通じてバッファ オーバーフローの脆弱性を引き起こす可能性があります。
Ford は、「脆弱なデバイスの無線範囲内にいる攻撃者は、MCP ドライバーを実行しているホスト プロセッサのメモリを上書きする可能性がある」と述べたセキュリティ勧告を発行し、Ford は WiFi の欠陥を検証し、影響を予測し、緩和策を開発するために直ちに措置を講じました。フォードはメディアポータルで声明を発表し、ユーザーがUSBにロードして車両にインストールできるソフトウェアアップデートが間もなくリリースされると述べ、「ユーザーがUSB経由でダウンロードしてインストールできるオンラインソフトウェアパッチを間もなくリリースする予定だ」と述べた。お客様は、SYNC 3 車載エンターテインメント システムの設定メニューから WiFi 機能をオフにすることができます。」
顧客を安心させるために、フォードはまた、この脆弱性の悪用は簡単ではないが、この不可能なシナリオでも対象車両の安全性が危険にさらされることはないと指摘した。フォードは、「これまでのところ、イグニッションがオンでWiFiがオンになっている車両にかなりの専門知識と物理的接近を必要とするエクスプロイトの証拠はありません。また、調査では、たとえそれが発生していない可能性があることも判明しましたが、もし車載エンターテイメント システムはファイアウォール制御によって保護されているため、悪用されても乗員の安全には影響しません。」
最後に、フォードは車両の脆弱性を発見したセキュリティ研究者に対し、同社の HackerOne プラットフォームを通じて直接脆弱性レポートを提出することを奨励しており、同社はこれまでに 2,500 件近くのバグを修正してきました。
Code Guard トライアル アドレス: https://codesafe.qianxin.com
オープンソース ガードのトライアル アドレス: https://oss.qianxin.com
推奨読書
Qi Anxinは世界的な「静的アプリケーションセキュリティテストパノラマ」の代表メーカーに選ばれました
Qi Anxinは世界的な「ソフトウェアコンポーネント分析のパノラマ」で代表メーカーに選ばれました
5年間にわたって、Netflix、Ford、その他の世界トップ100企業のデータがAmazonのS3ストレージバケットによって暴露されていた
サプライヤー、請負業者、自動車メーカーの弱点、フォード、GM、トヨタなどの企業秘密が漏洩
TCUの欠陥は車の遠隔ハッキングにつながる可能性 BMW フォード 日産が影響を受ける
自動車の安全性の氷山の一角:フォード、ソフトウェアアップデート問題で40万台以上の車をリコール
元のリンク
https://www.bleepingcomputer.com/news/security/ford-says-cars-with-wifi-vulnerability-still-safe-to-drive/
タイトル画像: Pixabayライセンス
この記事は Qi Anxin によって編集されたものであり、Qi Anxin の見解を表すものではありません。「Qi Anxin Code Guard https://codesafe.qianxin.com から転載」と明記してください。
Qi Anxin コードガード (コードセーフ)
国内初のソフトウェア開発セキュリティに特化した製品群。
良いと感じたら、「見る」または「いいね」をクリックしてください〜