海外版本三星 Galaxy S23/24 手机曝内存越界写入破

IT之家 1 月 14 日新闻，谷歌 Project Zero 团队发文，表露了三星海内版本手机存在的一个高危险内存越界写入（OBW）破绽 CVE-2024-49415，该破绽位于 Monkey s Audio（APE）音频解码器组件 libsaped.so 中。IT之家参考讲演得悉，谷歌团队在海内版本 Galaxy S23 / S24 手机中发明了相干成绩，这些手机重要预装了 Google Messages 利用，且默许启用 RCS 功效，黑客可用其余装备向这些手机的 Google Messages 利用发送特定音频文件，即可令手机的 libsaped.so 组件瓦解，从而实现近程履行恣意代码。谷歌表现，三星已于往年 9 月收到相干讲演，并在 12 月经由过程 SMR Dec-2024 Release 1 保险补丁更新停止了修复。值得留神的是，固然这一破绽的 CVSS 危险评分为 8.1，但三星将其评定为“严重”级别。这一决议可能与相干破绽无需用户交互即可触发的特征有关。