关于三星Tizen系统存在40个高危漏洞的安全公告

2017-04-06 15:36:47

安全公告编号:CNTA-2017-0024

近日,国家信息安全漏洞共享平台(CNVD)收录了三星Tizen操作系统40个高危漏洞(CNVD-2017-03991)。运行Tizen系统的三星电视、智能手表以及手机等设备将允许远程或本地攻击者在不需要物理接触的情况下攻击或完全控制这些设备。

一、漏洞情况分析

Tizen(泰泽)是两大Linux联盟LiMo Foundation和Linux Foundation 整合资源优势,携手英特尔和三星电子,共同开发的一个开源的、标准化的基于Linux的操作系统。该操作系统Tizen 除了将支持 HTML5 与基于 WAC 的应用程序外,还可广泛应用于各种不同的装置,其中包含智能型手机、平板计算机、智能电视、笔记本电脑与行车娱乐系统。

安全研究人员在三星Tizen操作系统中发现了40个未知安全漏洞(0Day),部分原因是不正确使用 strcpy()函数导致的缓冲区溢出,而且Tizen在传输特定数据时使用明文方式传输并没有以一致的方式使用SSL加密进行安全连接。在上述漏洞中有一个漏洞最为严重,该漏洞可被攻击者劫持电视并安装恶意代码,允许攻击者通过Tizen Store软件获取设备上的root权限并完全控制电视。

CNVD对上述漏洞综合评价为“高危”。

二、漏洞影响范围

漏洞影响运行Tizen操作系统的智能型手机、平板计算机、智能电视、笔记本电脑与行车娱乐等设备(甚至包括一批计划发布的设备)。

三、漏洞修复建议

厂商暂未给出具体解决方案,建议Tizen用户及时关注厂商主页:

http://www.samsung.com

附:参考链接:

https://motherboard.vice.com/en_us/article/samsung-tizen-operating-system-bugs-vulnerabilities

http://www.cnvd.org.cn/flaw/show/CNVD-2017-03991