12 月 9 日消息，網友 @軟媒用戶1345380 曾評論“今年是漏洞元年”，這固然有調侃的成分，但毋庸置疑的是，今年曝光的漏洞數量明顯更多，而且破壞力也更強。

在 LogoFAIL、SLAM 側信道攻擊之外，近日又一個重磅漏洞 5Ghoul 曝光。

5Ghoul 是“5G”和“Ghoul”的組合，共涵蓋 14 個漏洞，其中 10 個影響聯發(fā)科和高通兩家公司的 5G 調制解調器，3 個標記為高危漏洞。

5Ghoul 漏洞存在于 5G 網絡調制解調器固件實現過程中，影響包括蘋果、谷歌、vivo、小米、OPPO、三星、榮耀、摩托羅拉、realme、OnePlus、華為、中興、華碩、索尼、魅族、諾基亞在內 24 個品牌的 714 款智能手機。

該漏洞由新加坡科技設計大學 （SUTD） ASSET（自動化系統安全）研究小組發(fā)現，他們此前分別于 2021 年 9 月和 2020 年 2 月發(fā)現了 BrakTooth 和 SweynTooth 漏洞。

研究人員表示，攻擊者利用 5Ghoul 漏洞，可以不斷向目標手機發(fā)起攻擊，讓其從 5G 降至 4G、斷網、卡死、手機重啟等。

簡單來說，攻擊者可以欺騙手機或者 5G 設備連接流氓基站（gNB），從而導致意想不到的后果。

研究人員解釋說：“攻擊者不需要知道目標 UE 的任何秘密信息，例如 UE 的 SIM 卡詳細信息，即可完成 NAS 網絡注冊。攻擊者只需要使用已知的手機信號塔連接參數來冒充合法的 gNB 即可。”

在這 14 個漏洞中，最值得注意的是追蹤編號為 CVE-2023-33042 的漏洞。攻擊者可以在流氓基站無線電范圍內，目標 5G 設備發(fā)送畸形的無線電資源控制（RRC） 幀，導致高通的 X55 / X60 調制解調器固件中觸發(fā) 5G 連接降級或拒絕服務 （DoS）。

聯發(fā)科和高通都針對 14 個漏洞中的 12 個發(fā)布了補丁。由于保密原因，另外兩個漏洞的細節(jié)已被隱瞞，預計將在未來披露。

研究人員表示：“在 5G 調制解調器供應商的實施中發(fā)現問題會嚴重影響下游的產品供應商，5G 安全補丁通常需要六個月或更長時間才能最終通過 OTA 更新推送到終端用戶”。

相關閱讀：

《重磅 LogoFAIL 攻擊曝光：幾乎無法被檢測或者刪除，影響整個 x64 和 ARM CPU 生態(tài)設備》

《重磅級藍牙漏洞 BLUFFS：2014 年以來數十億臺設備均受影響》

《新型 SLAM 側信道攻擊曝光，英特爾、AMD 和 Arm 處理器均受影響》

《新藍牙漏洞曝光：追溯到 2012 年，攻擊者可遠程接管設備》

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，所有文章均包含本聲明。

投訴水文 我要糾錯

總結

以上是生活随笔為你收集整理的影响至少 24 个品牌 714 款机型，联发科高通紧急修复 5Ghoul 漏洞：可让手机瘫痪的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。