關于三星Tizen系統存在40個高危漏洞的安全公告
近日,國(guó)家信息安全漏洞共享平台(CNVD)收錄了三星Tizen操作系統40個高危漏洞(CNVD-2017-03991)。運行Tizen系統的三星電視、智能(néng)手表以及手機等設備將(jiāng)允許遠程或本地攻擊者在不需要物理接觸的情況下攻擊或完全控制這(zhè)些設備。
一、漏洞情況分析
Tizen(泰澤)是兩(liǎng)大Linux聯盟LiMo Foundation和Linux Foundation 整合資源優勢,攜手英特爾和三星電子,共同開(kāi)發(fā)的一個開(kāi)源的、标準化的基于Linux的操作系統。該操作系統Tizen 除了將(jiāng)支持 HTML5 與基于 WAC 的應用程序外,還(hái)可廣泛應用于各種(zhǒng)不同的裝置,其中包含智能(néng)型手機、平闆計算機、智能(néng)電視、筆記本電腦與行車娛樂系統。
安全研究人員在三星Tizen操作系統中發(fā)現了40個未知安全漏洞(0Day),部分原因是不正确使用 strcpy()函數導緻的緩沖區溢出,而且Tizen在傳輸特定數據時使用明文方式傳輸并沒(méi)有以一緻的方式使用SSL加密進(jìn)行安全連接。在上述漏洞中有一個漏洞最爲嚴重,該漏洞可被(bèi)攻擊者劫持電視并安裝惡意代碼,允許攻擊者通過(guò)Tizen Store軟件獲取設備上的root權限并完全控制電視。
CNVD對(duì)上述漏洞綜合評價爲“高危”。
二、漏洞影響範圍
漏洞影響運行Tizen操作系統的智能(néng)型手機、平闆計算機、智能(néng)電視、筆記本電腦與行車娛樂等設備(甚至包括一批計劃發(fā)布的設備)。
三、漏洞修複建議
廠商暫未給出具體解決方案,建議Tizen用戶及時關注廠商主頁:
附:參考鏈接:
https://motherboard.vice.com/en_us/article/samsung-tizen-operating-system-bugs-vulnerabilities