フォードのインフォテインメントシステムにバッファオーバーフローの脆弱性があり、リモートでコードが実行される可能性がある

ソースコードのセキュリティを重視し、国内外の最新情報を収集！

コンパイル: コードガード

Fordは、FordとLincolnの多くの車で使用されているSYNC3車載エンターテイメントシステムにバッファオーバーフローの脆弱性が存在し、リモートでコードが実行される結果を招く可能性があると警告したが、車両の運転の安全性には影響しないと述べた。

SYNC3 は、車内 WiFi ホットスポット、電話接続、音声コマンド、サードパーティアプリなどをサポートするクレジットインフォテインメントシステムです。このシステムは以下の車両に使用されています。

フォードエコスポーツ (2021 – 2022)
フォードエスケープ (2021 – 2022)
フォードブロンコスポーツ (2021 – 2022)
フォードエクスプローラー (2021 – 2022)
フォードマーベリック (2022)
フォード遠征 (2021)
フォードレンジャー (2022)
フォードトランジットコネクト (2021 – 2022)
フォードスーパーデューティ (2021 – 2022)
フォードトランジット (2021 – 2022)
フォードマスタング (2021 – 2022)
フォードトランジット CC-CA (2022)

近くの攻撃者

CVE-2023-29468 の番号が付けられたこの脆弱性は、カーエンターテインメントシステムに統合されている WiFi サブシステムの WL18xx MCP ドライバーに存在しており、WiFi 範囲内の攻撃者が特別に構築されたフレームワークを通じてバッファオーバーフローの脆弱性を引き起こす可能性があります。

Ford は、「脆弱なデバイスの無線範囲内にいる攻撃者は、MCP ドライバーを実行しているホストプロセッサのメモリを上書きする可能性がある」と述べたセキュリティ勧告を発行し、Ford は WiFi の欠陥を検証し、影響を予測し、緩和策を開発するために直ちに措置を講じました。フォードはメディアポータルで声明を発表し、ユーザーがUSBにロードして車両にインストールできるソフトウェアアップデートが間もなくリリースされると述べ、「ユーザーがUSB経由でダウンロードしてインストールできるオンラインソフトウェアパッチを間もなくリリースする予定だ」と述べた。お客様は、SYNC 3 車載エンターテインメントシステムの設定メニューから WiFi 機能をオフにすることができます。」

顧客を安心させるために、フォードはまた、この脆弱性の悪用は簡単ではないが、この不可能なシナリオでも対象車両の安全性が危険にさらされることはないと指摘した。フォードは、「これまでのところ、イグニッションがオンでWiFiがオンになっている車両にかなりの専門知識と物理的接近を必要とするエクスプロイトの証拠はありません。また、調査では、たとえそれが発生していない可能性があることも判明しましたが、もし車載エンターテイメントシステムはファイアウォール制御によって保護されているため、悪用されても乗員の安全には影響しません。」

最後に、フォードは車両の脆弱性を発見したセキュリティ研究者に対し、同社の HackerOne プラットフォームを通じて直接脆弱性レポートを提出することを奨励しており、同社はこれまでに 2,500 件近くのバグを修正してきました。

Code Guard トライアルアドレス: https://codesafe.qianxin.com

オープンソースガードのトライアルアドレス: https://oss.qianxin.com

推奨読書

Qi Anxinは世界的な「静的アプリケーションセキュリティテストパノラマ」の代表メーカーに選ばれました

Qi Anxinは世界的な「ソフトウェアコンポーネント分析のパノラマ」で代表メーカーに選ばれました

5年間にわたって、Netflix、Ford、その他の世界トップ100企業のデータがAmazonのS3ストレージバケットによって暴露されていた

サプライヤー、請負業者、自動車メーカーの弱点、フォード、GM、トヨタなどの企業秘密が漏洩

TCUの欠陥は車の遠隔ハッキングにつながる可能性 BMW フォード日産が影響を受ける

自動車の安全性の氷山の一角：フォード、ソフトウェアアップデート問題で40万台以上の車をリコール

元のリンク

https://www.bleepingcomputer.com/news/security/ford-says-cars-with-wifi-vulnerability-still-safe-to-drive/