CVE-2024-23933
Sony XAV-AX5500 CarPlay TLV Stack-based Buffer Overflow Remote Code Execution Vulnerability
Em resumo
Uma falha no recurso CarPlay do Sony XAV-AX5500 permite que alguém com acesso físico envie dados especialmente preparados que ultrapassam um espaço de memória, permitindo executar código malicioso no dispositivo sem precisar de senha.
Detalhe técnico
Estouro de buffer baseado em pilha na implementação do protocolo Apple CarPlay devido à validação insuficiente do comprimento de dados fornecidos pelo usuário antes de copiar para buffer de tamanho fixo. Requer proximidade física; sem necessidade de autenticação. A exploração bem-sucedida resulta em execução de código arbitrário com privilégios do dispositivo.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Sony XAV-AX5500 CarPlay TLV Stack-based Buffer Overflow Remote Code Execution Vulnerability. This vulnerability allows physically present attackers to execute arbitrary code on affected installations of Sony XAV-AX5500 devices. Authentication is not required to exploit this vulnerability.
The specific flaw exists within the implementation of the Apple CarPlay protocol. The issue results from the lack of proper validation of the length of user-supplied data prior to copying it to a fixed-length stack-based buffer. An attacker can leverage this vulnerability to execute code in the context of the device.
Was ZDI-CAN-23238
CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Sony · XAV-AX5500Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →