hagex
Super-Moderator
Teammitglied
- 121.907
Sicherheitslücke bei Smartphones mit Exynos-Modem (CVE-2023-24033)
- 83 Antworten
- Letztes Antwortdatum
A
ahlutum
Stamm-User
- 963
@Nagash
Eigentlich lt. obiger Verlinkung eben nicht mehr.
Eigentlich lt. obiger Verlinkung eben nicht mehr.
ses
Administrator
Teammitglied
- 36.130
@ahlutum dito, sehe ich auch so und daher nicht schon gestern einen forumweiten Hinweis gestartet.
DerMicha
Senior-Moderator
Teammitglied
- 12.680
Dann kann ich mich ja wieder entspannen
Cairus
Inventar
- 8.873
@Nagash bin gleich entspannt als würde es das Risiko net geben
Kann aber auch daran liegen das ich genau nichts wichtiges am Handy habe.
Kann aber auch daran liegen das ich genau nichts wichtiges am Handy habe.
DerMicha
Senior-Moderator
Teammitglied
- 12.680
@Cairus Uff, bei mir läuft alles über das Smartie
B
blackseven
Dauer-User
- 500
@hagex das würde voraussetzen, dass die Schwachstelle nur während aktiver Telefonate ausgenutzt werden kann. Das habe ich aber noch nirgends eindeutig gelesen. Es wird immer nur geraten die Funktionen abzuschalten....
Btw., ich habe ein Pixel 7....Aber auch da gibt es wohl noch keine offizielle Entwarnung seitens Google...oder?
Btw., ich habe ein Pixel 7....Aber auch da gibt es wohl noch keine offizielle Entwarnung seitens Google...oder?
Zuletzt bearbeitet:
Jegf
Fortgeschrittenes Mitglied
- 281
Khirdik
Dauer-User
- 1.039
Das S21-FE meines Vaters hat heute ein Update bekommen. Habe trotzdem die Funktionen deaktiviert.
der.unioner
Erfahrenes Mitglied
- 160
Es wäre schön, wenn Samsung mal eine Meldung herausgeben würde, welches Handy durch ein Update gefixt wurde oder wann es gefixt wird. 
N
nsmart
Stamm-User
- 655
Bzgl. der Frage, ob es nun für Samsung Geräte bereits einen Patch für CVE-2023-24033 gibt oder nicht:
Laut: Product Security Update | Support | Samsung Semiconductor Global
in der Rubrik "Januar 2023" heißt es: Patch: "Contact each Product Manager".
Hier: Samsung Mobile Security
ist der Patch für CVE-2023-24033 weder für Januar, Februar oder März aufgeführt.
Nach meiner Interpretation gibt es noch keinen Patch für Samsung Geräte. Woraus ließe sich etwas anderes schlußfolgern?
EDIT:
Könnte man in den Titel dieses Threads CVE-2023-24033 einfügen, damit das klar ist, um welche Sicherheitslücke es sich handelt?
Laut: Product Security Update | Support | Samsung Semiconductor Global
in der Rubrik "Januar 2023" heißt es: Patch: "Contact each Product Manager".
Hier: Samsung Mobile Security
ist der Patch für CVE-2023-24033 weder für Januar, Februar oder März aufgeführt.
Nach meiner Interpretation gibt es noch keinen Patch für Samsung Geräte. Woraus ließe sich etwas anderes schlußfolgern?
EDIT:
Könnte man in den Titel dieses Threads CVE-2023-24033 einfügen, damit das klar ist, um welche Sicherheitslücke es sich handelt?
Zuletzt bearbeitet:
B
blackseven
Dauer-User
- 500
Ich weiß nicht, woher die Annahme kommt, dass das Pixel 7/7Pro den Patch schon hat. Wenn ich diese Seite: Pixel Update Bulletin—March 2023 | Android Open Source Project richtig interpretiere, kann man sich auf den Google-Entwicklerseiten ein Image mit dem Patch herunterladen und per ADB-Sideload installieren. Dass der CVE-2023-24033 mit dem März-Update gefixt wurde, lese ich nicht raus. Aber vielleicht irre ich mich ja auch.
Kain666
Dauer-User
- 628
Anhänge
B
blackseven
Dauer-User
- 500
@Kain666 Definiere "die wichtigsten Sicherheitslücken". Und die hier genannte Lücke scheint nicht gefixt zu sein...oder doch?
A
ahlutum
Stamm-User
- 963
Man liest viel widersprüchliches. Teilweise schon gefixt oder noch gar nichts gefixt, usw.
Für den Moment wohl ratsam, beides zu deaktivieren, bis die Informationslage besser ist. Unschöne Geschichte.
Für den Moment wohl ratsam, beides zu deaktivieren, bis die Informationslage besser ist. Unschöne Geschichte.
HTCislove
Stamm-User
- 1.447
Ich gehe mal davon aus, dass das Pixel 6a auch betroffen ist, oder? Lt. Datenblatt ist derselbe Tensor-Chip wie im Pixel 6 verbaut. Es wird bisher nirgends explizit erwähnt.
RealAudipower
Stamm-User
- 340
Was mir an diesen Geschichten immer Fehlt ist die Info wie relevant das ganze ist. Wie andere schon beschrieben habe werden irgendwelche "Infos" aus Sicherheits Berichten herausgezogen. Und schon da fehlt die Info ob diese Person Kompetent ist oder einfach nur eine Schlagzeile fummelt. Danach geht das in der "Bubbel" der Interessierten um die restlichen 90 % (mindestens) Nutzer bekommen nichts mit. Und die Interessierte Bubble bekommt nur Bruchstücke und kann das alles null einschätzen, sondern sich nur Sorgen machen. Eine Lücke kann ja auch nur theoretisch existieren, bei der einige Bedingungen erfüllt sein müssen und damit die Wahrscheinlichkeit in Praxis gen Null Läuft. Es ist ja auch nicht beschrieben wie aufwändig das ist! Das Szenario wo man einfach wild Nummer durchtestet, greift ja nur wen der Test auf Schwachstelle im Rahmen bleibt. Kein Krimineller fängt an sich mit sowas zu beschäftigen wen das Testen auf Schwachstelle schon Stunden dauert und das ausnützen noch Länger oder sehr massiven Rechner Einsatz fordert um irgendwelche, Verschlüsselungen per Brute Force zu brechen.
Mein persönliches Fazit:
Diese Schwachstellen sollten schneller und besser Kommuniziert und behandelt werden, und das nicht immer von irgendwelchen Internet Möchtegern Experten. Auch wer wann geschützt ist sollte klarer sein. Aber für im Alltag relevant halte ich das alles nicht wie gesagt Millionen rennen rum und haben null Ahnung und es Passiert nichts. Ich habe auch nie glaubhafte berichte gesehen wo solche Schwachpunkte in breiter Masse genutzt wurden. Und wen man sich die Menschheit so ansieht, warum auch ?? Mit plumpen und einfachen Spam Mails und Anrufen ist man viel Erfolgreicher das ist wenig Aufwand und funktioniert seid Jahrzehnten. Den eins ist klar auch Verbrechen Arbeiten Wirtschaftlich und wollen viel gewinn möglichst einfach. Und nicht Wochen an einem Sicherheitsleck Rumtüfteln das bevor es Gewinn abwirft geschlossen wird.
Solche Sicherheits Mängel sollte es nicht geben und müssen schnell gefixt werden. Aber niemand sollte sich da Groß sorgen machen. Und Funktionen abschalten für ein eventuell.
Mein persönliches Fazit:
Diese Schwachstellen sollten schneller und besser Kommuniziert und behandelt werden, und das nicht immer von irgendwelchen Internet Möchtegern Experten. Auch wer wann geschützt ist sollte klarer sein. Aber für im Alltag relevant halte ich das alles nicht wie gesagt Millionen rennen rum und haben null Ahnung und es Passiert nichts. Ich habe auch nie glaubhafte berichte gesehen wo solche Schwachpunkte in breiter Masse genutzt wurden. Und wen man sich die Menschheit so ansieht, warum auch ?? Mit plumpen und einfachen Spam Mails und Anrufen ist man viel Erfolgreicher das ist wenig Aufwand und funktioniert seid Jahrzehnten. Den eins ist klar auch Verbrechen Arbeiten Wirtschaftlich und wollen viel gewinn möglichst einfach. Und nicht Wochen an einem Sicherheitsleck Rumtüfteln das bevor es Gewinn abwirft geschlossen wird.
Solche Sicherheits Mängel sollte es nicht geben und müssen schnell gefixt werden. Aber niemand sollte sich da Groß sorgen machen. Und Funktionen abschalten für ein eventuell.
B
Blacky12
Dauer-User
- 832
Das S21 FE hat keinen Exynos, daher ist es von dieser Schwachstelle nicht betroffen.Khirdik schrieb:
Zuletzt bearbeitet:
RealAudipower
Stamm-User
- 340
Geht hier nicht um den Chip Tensor oder Exynos , sondern um das Verbaute Modem.
Insofern könnte auch ein Gerät mit Snapdragon oder MTK Prozessor betroffen sein. Wen auch deutlich weniger wahrscheinlich.
Insofern könnte auch ein Gerät mit Snapdragon oder MTK Prozessor betroffen sein. Wen auch deutlich weniger wahrscheinlich.
Zuletzt bearbeitet:
ses
Administrator
Teammitglied
- 36.130
Also beziehen wir uns mal auf die ursprüngliche Quelle ""Project Zero":
Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems
Grundsätzlich: WLAN-Anrufe und Voice-over-LTE (VoLTE) in den Geräteeinstellungen deaktivieren und man ist "sicher".
Die Patch-Timelines unterscheiden sich natürlich je nach Hersteller, aber betroffene Pixel-Geräte haben lt. dem Artikel im März 2023 einen Fix für CVE-2023-24033 erhalten. Samsung hat soweit ich nachfolgende Seite richtig interpretiere bereits im Januar 2023 reagiert:
Product Security Update | Support | Samsung Semiconductor Global
Die Kommunikation von Samsung ist hier allerdings wirklich etwas dürftig / widersprüchlich.
Was ich hierzu noch gefunden habe:
[Samsung Responded] Severe Exynos modem vulnerabilities found, these models are affected - verweist auf: 三星回应旗下调制解调器存在 18 个漏洞:已提供修复补丁,问题现已解决 - IT之家
Zu Deutsch:
Diesbezüglich antwortete Samsung gegenüber IT Home mit den Worten: Ende letzten Jahres erhielten wir eine Benachrichtigung über ein Sicherheitsproblem für Google Project Zero, und Samsung hat allen Kunden eine Patch-Version für diese Schwachstelle und die damit verbundenen Probleme zur Verfügung gestellt gelöst worden.
Ergo: Es wird nicht so heiß gegessen wie gekocht
.
Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems
Grundsätzlich: WLAN-Anrufe und Voice-over-LTE (VoLTE) in den Geräteeinstellungen deaktivieren und man ist "sicher".
Die Patch-Timelines unterscheiden sich natürlich je nach Hersteller, aber betroffene Pixel-Geräte haben lt. dem Artikel im März 2023 einen Fix für CVE-2023-24033 erhalten. Samsung hat soweit ich nachfolgende Seite richtig interpretiere bereits im Januar 2023 reagiert:
Product Security Update | Support | Samsung Semiconductor Global
Die Kommunikation von Samsung ist hier allerdings wirklich etwas dürftig / widersprüchlich.
Was ich hierzu noch gefunden habe:
[Samsung Responded] Severe Exynos modem vulnerabilities found, these models are affected - verweist auf: 三星回应旗下调制解调器存在 18 个漏洞:已提供修复补丁,问题现已解决 - IT之家
Zu Deutsch:
Diesbezüglich antwortete Samsung gegenüber IT Home mit den Worten: Ende letzten Jahres erhielten wir eine Benachrichtigung über ein Sicherheitsproblem für Google Project Zero, und Samsung hat allen Kunden eine Patch-Version für diese Schwachstelle und die damit verbundenen Probleme zur Verfügung gestellt gelöst worden.
Ergo: Es wird nicht so heiß gegessen wie gekocht
.
