原文连结:https://www.ithome.com.tw/news/158288
原文内容:
8月10日福特发布资安通告,有研究人员发现旗下部分2021年至2022年车款采用的Sync3车
载资讯系统里,采用的WL18xx MCP驱动程式,存在内存缓冲区溢位漏洞CVE-2023-29468
,攻击者若是在车载资讯系统Wi-Fi讯号范围,就有可能借由含有弱点的MCP驱动程式,取
得覆写主机内存的能力,CVSS风险评分介于8.8至9.6分,影响WILINK8-WIFI-MCP8的8.5
_SP3以前版本。
对此,福特表示,截至目前为止,尚未发现上述漏洞遭到利用,且攻击者想要利用该漏洞
必须在车辆引擎发动、车载资讯系统启用Wi-Fi连线的情况下,才能在车辆附近发动攻击
;由于油门及控制车辆行进的系统受到防火墙保护,即使车载资讯系统遭到攻击也不致影
响行车安全。该公司正在制作修补程式,在此更新软件尚未推出之前,车主可在车载资讯
系统关闭Wi-Fi连线功能,即可缓解上述漏洞带来的风险。
针对福特强调上述车载资讯系统漏洞不影响行车安全的说法,部分资安新闻网站显然难以
认同。例如,Bleeping Computer便以“福特声称车辆含有Wi-Fi漏洞仍能安全行驶(Ford
says cars with WiFi vulnerability still safe to drive)”为题进行报导;Securi
tyWeek则是以“福特声称Wi-Fi漏洞对车辆并非安全风险(Ford Says Wi-Fi Vulnerabili
ty Not a Safety Risk to Vehicles)”为题报导此事。
心得/说明:(30字以上)
虽然大概知道传统车厂的车机系统通常都不太好,但可以透过Wi-Fi元件漏洞复写主机记
忆体真的完全没问题吗?