Ford предупредил об уязвимости переполнения буфера в своей информационно-развлекательной системе SYNC3, используемой во многих автомобилях. Она потенциально может обеспечить удалённое выполнение кода. Несмотря на это, компания заявляет, что уязвимость не влияет на безопасность вождения автомобиля.
SYNC3 — это информационно-развлекательная система, которая поддерживает автомобильные точки доступа Wi-Fi, подключение к телефону, голосовые команды, сторонние приложения и многое другое.
Данная система используется в следующих моделях:
Ford EcoSport (2021 – 2022),
Ford Escape (2021 – 2022),
Ford Bronco Sport (2021 – 2022),
Ford Explorer (2021 – 2022),
Ford Maverick (2022),
Ford Expedition (2021),
Ford Ranger (2022),
Ford Transit Connect (2021 – 2022),
Ford Super Duty (2021 – 2022),
Ford Transit (2021 – 2022),
Ford Mustang (2021 – 2022),
Ford Transit CC-CA (2022).
Уязвимость отслеживается как CVE-2023-29468 и находится в MCP-драйвере WL18xx для подсистемы Wi-Fi, встроенной в информационно-развлекательную систему автомобиля. Она позволяет злоумышленнику, находящемуся в диапазоне работы Wi-Fi, вызвать переполнение буфера с помощью специально созданного фрейма.
Поставщик проинформировал Ford об обнаружении дефекта, и компания приняла меры для оценки последствий и разработки средств защиты.
Автопроизводитель обещает вскоре выпустить исправление программного обеспечения, которое клиенты смогут загрузить на USB-накопитель и установить на свои автомобили. Пока же им советуют просто отключить функцию Wi-Fi через меню настроек SYNC 3.
Ford уверяет, что эту уязвимость нелегко использовать, и даже в таком маловероятном сценарии она не поставит под угрозу безопасность транспортных средств. Компания подчёркивает, что информационно-развлекательная система защищена брандмауэром в части управления авто.
Ранее инженер по безопасности Yuga Labs Сэм Карри обнаружил в Ford уязвимости, которые позволяют раскрыть персональные данные владельца и токены доступа для отслеживания и выполнения команд на автомобиле.
