Компания Ford предупредила об уязвимости переполнения буфера, обнаруженной в инфотейнмент-системе SYNC3, используемой во многих автомобилях Ford и Lincoln. Уязвимость допускает удаленное выполнение произвольного кода, однако в компании уверяют, что это не влияет на безопасность вождения.
SYNC3 представляет собой современную информационно-развлекательную систему, которая поддерживает автомобильные точки доступа Wi-Fi, подключение к телефону, голосовые команды, сторонние приложения и многое другое. SYNC3 используется в следующих моделях автомобилей:
- Ford EcoSport (2021 – 2022);
- Ford Escape (2021 – 2022);
- Ford Bronco Sport (2021 – 2022);
- Ford Explorer (2021 – 2022);
- Ford Maverick (2022);
- Ford Expedition (2021);
- Ford Ranger (2022);
- Ford Transit Connect (2021 – 2022);
- Ford Super Duty (2021 – 2022);
- Ford Transit (2021 – 2022);
- Ford Mustang (2021 – 2022);
- Ford Transit CC-CA (2022).
Теперь в SYNC3, а точнее MCP-драйвере WL18xx для подсистемы Wi-Fi, была обнаружена уязвимость CVE-2023-29468. Проблема позволяет злоумышленнику, находящемуся в диапазоне действия Wi-Fi, спровоцировать переполнение буфера с помощью специально созданного фрейма. В итоге атакующий сможет перезаписать память процессора хоста, выполняющего драйвер MCP.
В своем бюллетене безопасности компании Ford сообщает, что вскоре выпустит исправление ПО, которое клиенты смогут загрузить на USB-накопитель и установить на свои автомобили. А пока патча нет, клиентам «обеспокоенным уязвимостью», советуют отключить функцию Wi-Fi через меню настроек инфотейнмент-системы SYNC 3.
Также, чтобы дополнительно успокоить пользователей, автопроизводитель заявляет, что эту уязвимость нелегко эксплуатировать, и даже в случае маловероятной атаки она не поставит под угрозу безопасность транспортных средств, поскольку информационно-развлекательная система изолирована от органов управления авто.
«На данный момент мы не обнаружили никаких доказательств использования этой уязвимости, что, скорее всего, потребовало бы значительных знаний и опыта, а также физического присутствия рядом с автомобилем, в котором включено зажигание и Wi-Fi», — добавляет Ford.
