GoogleのセキュリティアナリストチームであるProject Zeroは3月16日(米国時間)、「Project Zero: Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems」において、SamsungのExynosチップセットに複数の脆弱性があることを伝えた。18件の脆弱性があり、それらの内4件はリモートコード実行(RCE: Remote Code Execution)の脆弱性が含まれると報告されている。
Samsungが開発したARMベースのExynosプロセッサに複数の重大な脆弱性が存在することが明らかとなった。Project Zeroによって発見された脆弱性は、CVE-2023-24033、CVE-2023-26072、CVE-2023-26073、CVE-2023-26074、CVE-2023-26075、CVE-2023-26076として追跡されている。なお、一部の脆弱性にはまだCVE-IDが割り当てられていない。
影響を受けるデバイスは次のとおり。
- Samsungのモバイルデバイス - S22、M33、M13、M12、A71、A53、A33、A21、A13、A12、A04シリーズ
- Vivoのモバイルデバイス - S16、S15、S6、X70、X60、X30シリーズ
- Googleのモバイルデバイス - Pixel 6およびPixel 7シリーズ
- Exynos W920 チップセットを使用するウェアラブルデバイス
- Exynos Auto T5123チップセットを搭載しているすべての車両
パッチが適用される時期はメーカーごとに異なる可能性が高いと予想されている。Project Zeroは影響を受けるデバイスを所有しているユーザーに対し、セキュリティアップデートが提供されるまでの間、設定でWi-Fi通話とVoLTEをオフに設定することを推奨している。これらの設定をオフにすることで、リモートコード実行の脆弱性の悪用リスクを排除することができると説明している。
リモートコード実行以外の脆弱性の悪用に関しては、デバイスへのローカルアクセスを持つ必要があるため、それほど深刻ではないことも伝えている。