8月10日福特發布資安通告,有研究人員發現旗下部分2021年至2022年車款採用的Sync3車載資訊系統裡,採用的WL18xx MCP驅動程式,存在記憶體緩衝區溢位漏洞CVE-2023-29468,攻擊者若是在車載資訊系統Wi-Fi訊號範圍,就有可能藉由含有弱點的MCP驅動程式,取得覆寫主機記憶體的能力,CVSS風險評分介於8.8至9.6分,影響WILINK8-WIFI-MCP8的8.5_SP3以前版本。

對此,福特表示,截至目前為止,尚未發現上述漏洞遭到利用,且攻擊者想要利用該漏洞必須在車輛引擎發動、車載資訊系統啟用Wi-Fi連線的情況下,才能在車輛附近發動攻擊;由於油門及控制車輛行進的系統受到防火牆保護,即使車載資訊系統遭到攻擊也不致影響行車安全。該公司正在製作修補程式,在此更新軟體尚未推出之前,車主可在車載資訊系統關閉Wi-Fi連線功能,即可緩解上述漏洞帶來的風險。

針對福特強調上述車載資訊系統漏洞不影響行車安全的說法,部分資安新聞網站顯然難以認同。例如,Bleeping Computer便以「福特聲稱車輛含有Wi-Fi漏洞仍能安全行駛(Ford says cars with WiFi vulnerability still safe to drive)」為題進行報導;SecurityWeek則是以「福特聲稱Wi-Fi漏洞對車輛並非安全風險(Ford Says Wi-Fi Vulnerability Not a Safety Risk to Vehicles)」為題報導此事。

熱門新聞

Advertisement