11 月 10 日消息,安全公司趋势科技近日发现日本汽车制造商马自达旗下多款车型的CMU车机系统(Connect Connectivity Master Unit)存在多项高危漏洞,可能导致黑客远程执行代码,危害驾驶人安全。
获悉,这些漏洞影响 2014 至 2021 年款 Mazda 3 等车型,涉及系统版本为 74.00.324A 的车机,黑客只需先控制受害者的手机,接着趁受害者将手机作为 USB 设备连接到 CMU 车机系统之机,即可利用相关漏洞以 root 权限运行任意代码,包括阻断车联服务、安装勒索软件、瘫痪车机系统,甚至直接危及驾驶安全。
▲ 涉及的 CMU 车机系统,图源趋势科技
趋势科技表示,具体关键漏洞包括:
CVE-2024-8355:DeviceManager 中的 iAP 序列号 SQL 注入漏洞。黑客可以通过连接苹果设备进行 SQL 注入,以 root 权限修改数据库,读取或执行任意代码。
CVE-2024-8359、CVE-2024-8360 和 CVE-2024-8358:这些漏洞允许攻击者在 CMU 的更新模块中注入任意指令,从而实现远程代码执行。
CVE-2024-8357:SoC验证漏洞,由于SoC 未对启动代码进行验证,使得黑客能够悄悄修改根文件系统,安装后门,甚至执行任意代码。
CVE-2024-8356:影响独立模块 VIP MCU 的漏洞。黑客可通过篡改更新文件,将恶意镜像文件写入 VIP MCU,进一步入侵汽车 CAN / LIN 控制网络,威胁车辆整体安全。
研究人员指出,相应漏洞的利用门槛较低,黑客只需在 FAT32 格式的 USB 硬盘上创建文件,命名为“.up”后缀即可被 CMU 识别为更新文件,从而执行多种恶意指令。结合上述漏洞,黑客即可通过恶意 MCU 固件实现对车载网络的控制,从而直接影响车辆的运行及安全。
南方财经全媒体记者高慧超 实习生卢秀颖 卢诗文 北京报道预制菜再度成为两会代表委员热议的焦点。尽管各种关于预制菜的争议仍在继续,但并不妨碍预制菜在龙年春节登上年夜饭饭桌,线 据路透社报道,日前,欧盟委员会发布紧急通知称,计划开始对从中国进口的纯电动汽车(BEVs)进行海关登记。报道称,此举为欧盟对中国电动汽车发起“反补贴调查”的一部分,若最终调查认定中国电车接受了所谓“不公平补贴”,欧盟 21世纪经济报道记者杨志锦 北京报道 “今年将5%左右作为中国经济增长预期目标,是党中央、国务院在综合平衡基础上兼顾当前和长远、需要和可能提出的,是经过科学论证的。这一目标符合 近日,海外社交媒体上疑似泄露了特斯拉Model 3高性能版车型的相关参数,可以看到,新车后电机将提升至412马力,综合最大功率将会达到612马力,续航预计430km左右。据悉,特斯拉或在近期公布高性能版车型的具体参数,同时有望正 21世纪经济报道记者 周潇枭 北京报道 政府工作报告指出,要强化宏观政策逆周期和跨周期调节,继续实施积极的财政政策和稳健的货币政策,加强政策工具创新和协调配合。积极的财政政策要适 3 月 10 日消息,韩国电池巨头三星 SDI 的总裁 Choi Yoon-ho 在韩国规模最大的电池展 InterBattery 2024 上宣布,公司研发的 46 毫米大直径电池将于 2025 年初具备量产能力,具体量产时间将根据客户需求进行调整。 。本文链接:马自达 CMU 车机系统曝多项高危漏洞,可导致黑客远程执行代码http://www.sushuapos.com/show-4-13275-0.html
声明:本网站为非营利性网站,本网页内容由互联网博主自发贡献,不代表本站观点,本站不承担任何法律责任。天上不会到馅饼,请大家谨防诈骗!若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。