Google Project Zero 團隊在 3 月指出，他們去年底與今年初在三星所生產的多款 Exynos 數據機上發現了 18 個零時差漏洞，當中 4 個最嚴重的漏洞將允許駭客自遠端危害使用者手機，所以駭客只需得知手機號碼就能展開攻擊，且完全不需使用者互動，甚至可能不被使用者察覺。而這 18 個漏洞影響了三星、Vivo 及 Google 的眾多手機，也波及採用 Exynos W920 晶片組的穿戴裝置及使用 Exynos Auto T5123 的汽車。

 

在 4 個嚴重漏洞中，目前僅有 CVE-2023-24033 被賦予編號，含有該漏洞的多款晶片無法妥善檢查對話描述協定（Session Description Protocol，SDP）模組的格式類型，而可能導致服務阻斷。

圖片來源：https://semiconductor.samsung.com/support/quality-support/product-security-updates/

在其它較不嚴重的 14 個安全漏洞中，則有 5 個已被賦予漏洞編號，它們分別是CVE-2023-26072、CVE-2023-26073、CVE-2023-26074、CVE-2023-26075 與CVE-2023-26076，這 14 個漏洞必須具備額外的條件才能被利用，例如要有惡意的行動營運商，或者是駭客必須實際存取裝置。

 

上述 18 個安全漏洞波及數十款 Exynos 晶片，進行影響使用它們的裝置，擁有三星的 Galaxy S22、M33、M13、M12、A71、A53、A33、A21、A13、A12 與 A04 等手機的使用者，和Vivo 的 S16、S15、S6、X70、X60 與 X30 手機，Google 的 Pixel 6 與 Pixel 7，以及使用Exynos W920 穿戴裝置，或是採用 Exynos Auto T5123 的任何汽車等使用者都須小心。

 

Google 已展開 3 月安全更新中修補了 Pixel 手機的 CVE-2023-24033 漏洞，由於各家業者修補漏洞的時間點不同，使得 Project Zero 資深安全工程經理 Tim Willis 建議，擁有相關裝置的使用者可於設定中暫時關閉 Wi-Fi 通話（Wi-Fi calling）及 Voice-over-LTE（VoLTE）功能，以避免遭到攻擊。這裡建議上述裝置使用者盡快更新，保護自身權益。

 

細節資訊： https://semiconductor.samsung.com/support/quality-support/product-security-updates/