Redian新闻
>
高危漏洞预警 | 车联网开源组件命令执行漏洞被监测出

高危漏洞预警 | 车联网开源组件命令执行漏洞被监测出

公众号新闻


近日,国内某安全实验室监测到部分智能网联汽车使用的开源项目busybox代码执行漏洞(CVE-2022-30065)。该漏洞影响多数车机娱乐系统IVI、TBOX、仪表等系统安全,截至发稿,Busybox官方已发布修复版本。

Busybox是一个遵循GPL协议、以自由软件形式发行的应用程序。Busybox在单一的可执行文件中提供了精简的Unix工具集,可运行于多款POSIX环境的操作系统,例如Linux,Hurd,QNX,FreeBSD等等。由于Busybox可执行文件的文件比较小,使得它在智能汽车上运用非常广泛。该漏洞由于是Busybox的AWK模块使用释放后的内存,并且在copyvar函数中处理特制的AWK模式时可导致代码执行。

该漏洞为高危漏洞,官方CVSS评分7.8,对车端可能造成重大安全风险——

  • 可导致程序崩溃、权限提升,从而使车辆的业务功能失效,严重可导致车辆停止工作或者丧失控制权,系统崩溃时被执行其他攻击的风险激增。
  • 可配合其它远程漏洞,通过非法控车,获取例如像车辆定位数据、车主身份信息、车辆操作历史等一系列敏感信息。黑客可利用这些信息来实施身份盗窃、勒索、追踪等恶意行为。
  • 配合信息泄露漏洞如用于维持权限,则意味着黑客可以在系统中长期潜伏并继续进行攻击活动,而不被发现或清除。黑客可以利用这个漏洞来获取管理员权限并修改系统配置,或者在受感染的车辆上执行恶意代码。这可能会对车辆和驾驶员的安全造成严重威胁。

Busybox ≤ 1.35-X的车辆将受到安全威胁

据评估统计,超过1.58亿的智能终端上使用了Busybox 。这其中,有超过1亿智能终端上的Busybox 版本低于1.35,智能网联汽车系统中较普遍使用Busybox组件。

鉴于受影响车辆较多,专家建议尽快将组件升级至官方最新版本。



微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
警惕!中国已监测出1例本土XBB病例!XBB.1.5成美国主导毒株,死亡数一周增44%!加拿大感染激增!巴黎,巴黎(11)logback - 自定义日志脱敏组件,一种不错的脱敏方案特朗普身陷多项官司、多地家长赴中缅边境寻子、史上最大黑洞被发现等丨今日天下我国监测出1例本土XBB病例/iPhone 16 Pro或大改灵动岛/知乎封禁「天价彩礼」作者帐号4名年轻人跳崖才几天,全网开始辱骂?美国入境档案--王助和其他中国飞机人材美国“网开一面”宣布放宽制裁,美籍叙利亚专家:完全没有必要“虚伪” 的 Docker 开始清退开源组织,不付费就删除所有镜像!Docker正在淘汰开源组织,CTO硬刚开发者,网友:想赚钱可以,但沟通方式烂透了中疾控:我国已监测出1例本土XBB病例互联网开年第一刀:减员18000人苹果官网开启年终降价促销;李子柒将复出与微念继续合作;「自然堂」官宣虞书欣为全球护肤代言人 | 蓝图资讯殡仪馆大爆满, 谁将退居二线?硬核观察 #942 Docker Hub 将删除所有没有付钱的开源组织的镜像车联网:终端和网络先行纯命令行+美观UI,10款实用开源下载工具车联网安全入门之从CAN模拟环境搭建到重放攻击GAIDC2023大会官网开放报名斯大林对毛泽东的猜忌苹果官网开卖“翻新版”iPad!最高便宜2000元!车联网市场进入【换道】周期,模组厂商如何抢先布局?刚获得首个SCI影响因子的医学期刊,就被中科院列为高危预警,涉嫌论文工厂学术造假中国联通拟分拆车联网子公司至科创板上市,去年净利1亿元腾讯PAG动画组件技术,8K内容生产和传输应用实践,xR虚拟拍摄技术探索,影视生产与互联网音视频哈啰电动车联名柠季;美团买菜实现盈亏平衡;亚洲首个哈利波特主题乐园将于6月在日本开业... | 刀法品牌热讯工信部支持湖北(襄阳)、浙江(德清)、广西(柳州)创建国家级车联网先导区互联网开启2023,张勇要给阿里换个“进”度汽车品牌如何转型?长安汽车联动三体IP示范新玩法微信「小功能」组件上线刚刚通报!"已监测出1例本土XBB病例"白菜价!GAP官网开仓,全场成人儿童服饰2.5折起+额外5折!互联网开年大戏,主角竟是游戏公司?我国共监测到16例XBB本土关联病例,官方通报监测细节重返威尼斯:入住宫殿宾馆
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。