※ 本文轉寄自 ptt.cc 更新時間: 2023-08-17 09:29:42
看板 car
作者 標題 [新聞] 福特證實車載資訊系統Sync3存在Wi-Fi元
時間 Wed Aug 16 13:28:10 2023
原文連結:https://www.ithome.com.tw/news/158288
福特證實車載資訊系統Sync3存在Wi-Fi元件漏洞 | iThome
![[圖]]()
研究人員發現福特車載資訊系統Sync3存在重大漏洞CVE-2023-29468,該漏洞存在於Wi-Fi驅動程式,部分2021年至2022年車款曝險 ...
![[圖]](https://s4.itho.me/sites/default/files/field/image/ford-sync3-wifi-156.jpg)
原文內容:
8月10日福特發布資安通告,有研究人員發現旗下部分2021年至2022年車款採用的Sync3車
載資訊系統裡,採用的WL18xx MCP驅動程式,存在記憶體緩衝區溢位漏洞CVE-2023-29468
,攻擊者若是在車載資訊系統Wi-Fi訊號範圍,就有可能藉由含有弱點的MCP驅動程式,取
得覆寫主機記憶體的能力,CVSS風險評分介於8.8至9.6分,影響WILINK8-WIFI-MCP8的8.5
_SP3以前版本。
載資訊系統裡,採用的WL18xx MCP驅動程式,存在記憶體緩衝區溢位漏洞CVE-2023-29468
,攻擊者若是在車載資訊系統Wi-Fi訊號範圍,就有可能藉由含有弱點的MCP驅動程式,取
得覆寫主機記憶體的能力,CVSS風險評分介於8.8至9.6分,影響WILINK8-WIFI-MCP8的8.5
_SP3以前版本。
對此,福特表示,截至目前為止,尚未發現上述漏洞遭到利用,且攻擊者想要利用該漏洞
必須在車輛引擎發動、車載資訊系統啟用Wi-Fi連線的情況下,才能在車輛附近發動攻擊
;由於油門及控制車輛行進的系統受到防火牆保護,即使車載資訊系統遭到攻擊也不致影
響行車安全。該公司正在製作修補程式,在此更新軟體尚未推出之前,車主可在車載資訊
系統關閉Wi-Fi連線功能,即可緩解上述漏洞帶來的風險。
必須在車輛引擎發動、車載資訊系統啟用Wi-Fi連線的情況下,才能在車輛附近發動攻擊
;由於油門及控制車輛行進的系統受到防火牆保護,即使車載資訊系統遭到攻擊也不致影
響行車安全。該公司正在製作修補程式,在此更新軟體尚未推出之前,車主可在車載資訊
系統關閉Wi-Fi連線功能,即可緩解上述漏洞帶來的風險。
針對福特強調上述車載資訊系統漏洞不影響行車安全的說法,部分資安新聞網站顯然難以
認同。例如,Bleeping Computer便以「福特聲稱車輛含有Wi-Fi漏洞仍能安全行駛(Ford
says cars with WiFi vulnerability still safe to drive)」為題進行報導;Securi
tyWeek則是以「福特聲稱Wi-Fi漏洞對車輛並非安全風險(Ford Says Wi-Fi Vulnerabili
ty Not a Safety Risk to Vehicles)」為題報導此事。
心得/說明:(30字以上)
雖然大概知道傳統車廠的車機系統通常都不太好,但可以透過Wi-Fi元件漏洞複寫主機記
憶體真的完全沒問題嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.137.214.126 (臺灣)
※ 作者: ppokok 2023-08-16 13:28:10
※ 文章代碼(AID): #1at5vixa (car)
※ 文章網址: https://www.ptt.cc/bbs/car/M.1692163692.A.EE4.html
※ 編輯: ppokok (223.137.214.126 臺灣), 08/16/2023 13:29:12
--
推 : 同學們上電腦課了1F 08/16 13:29
※ 編輯: ppokok (223.137.214.126 臺灣), 08/16/2023 13:30:12推 : 2021~2022 那表示新款的沒問題了2F 08/16 13:29
推 : 新開計算機概論課程3F 08/16 13:32
推 : 幹,連計算機概論也能上課4F 08/16 13:38
推 : 計算機概論 上課啦~~5F 08/16 13:38
噓 : 課程分真細…6F 08/16 13:39
推 : 多元學習7F 08/16 13:57
推 : 資訊課程8F 08/16 14:05
推 : 同學,這次要學C語言喔~9F 08/16 14:07
→ : 開課 感恩 惜福10F 08/16 14:12
推 : 資管輔系學分11F 08/16 14:26
推 : 福祿壽理工學院分支副本—資安小學堂12F 08/16 14:32
推 : 這是理工類全修班吧XD13F 08/16 14:52
推 : 不過我老實講,這個bug在車上的話是真的還好...14F 08/16 14:53
→ : 而且能藉由關閉wifi暫時解決等到patch出現
→ : 而且說真的這其實沒辦法怪福特,這是德儀的包
→ : 而且能藉由關閉wifi暫時解決等到patch出現
→ : 而且說真的這其實沒辦法怪福特,這是德儀的包
推 : OSI七層模型理論課上起來!17F 08/16 14:55
→ : 而且這包是發生在特定型號的德儀生產wifi模組18F 08/16 14:55
→ : 目前還沒有針對性測試來證實對Sync3能有怎樣的影響
→ : 目前還沒有針對性測試來證實對Sync3能有怎樣的影響
→ : sync 請說一個指令20F 08/16 15:12
推 : 從理論到實做,軟硬體兼修,全方位汽修人才培訓課程21F 08/16 15:16
推 : apstndp layers22F 08/16 15:26
推 : 說實話,這是TI的鍋...23F 08/16 15:32
推 : 從機械、化工、材料、電機 現在終於要開資工學程了24F 08/16 15:56
→ : 福祿仔又贏了一拜
→ : 福祿仔又贏了一拜
推 : 這個問題還好吧 Wi-Fi關掉就好26F 08/16 16:19
推 : 哇咧,選修高階課程,給尊重。27F 08/16 16:49
推 : 所以駭客入侵你的車機要幹嘛?讓你不能聽音樂?28F 08/16 17:22
→ : sync3跟本沒什麼了不起的功能阿..有入侵的價值?
→ : sync3跟本沒什麼了不起的功能阿..有入侵的價值?
推 : 藍芽有連著手機可能偷電話簿吧?唯一有價值的資料30F 08/16 17:56
→ : 幫你用車機免持聽筒撥打 0204,這就可怕了吧
→ : 幫你用車機免持聽筒撥打 0204,這就可怕了吧
推 : 福特大學資工系招生中32F 08/16 18:08
推 : 車美式沒這問題33F 08/16 18:31
推 : 負責任給推34F 08/16 19:06
→ : 哇 資工課程也有35F 08/16 19:07
推 : 資工課程開課嘍36F 08/16 19:56
→ : 笑死37F 08/16 21:10
→ : 車機安全性弱不是很正常嗎XD38F 08/16 22:21
推 : 車機很少用wifi 也不常更新XD39F 08/16 22:25
→ : 通常有興趣入侵的是為了加功能吧...40F 08/16 22:40
推 : 軟體在車上根本多餘的 by 業內大佬41F 08/17 02:03
--
※ 看板: Car 文章推薦值: 0 目前人氣: 0 累積人氣: 40
回列表(←)
分享