Остальные 14 уязвимостей имеют более низкий уровень опасности, так как для атаки требуется доступ к инфраструктуре оператора мобильной сети или локальный доступ к устройству пользователя. За исключением уязвимости CVE-2023-24033, исправление которой было предложено в мартовском обновлении прошивки для устройств Google Pixel, проблемы остаются неисправленными. Про уязвимость CVE-2023-24033 пока известно лишь то, что она вызвана некорректной проверкой формата атрибута
«accept-type», передаваемого в сообщениях SDP (Session Description Protocol).
До устранения уязвимостей производителями пользователям рекомендовано отключить в настройках поддержку VoLTE (Voice-over-LTE) и функцию вызова через Wi-Fi. Уязвимости проявляются в устройствах, оснащённых чипами Exynos, например, в смартфонах Samsung (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 и A04), Vivo (S16, S15, S6, X70, X60 и X30), Google Pixel (6 и 7), а также носимых устройствах на чипсете Exynos W920 и автомобильных системах с чипом Exynos Auto T5123.
В связи с опасностью уязвимостей и реалистичностью быстрого появления эксплоита компания Google решила сделать для 4 наиболее опасных проблем исключение из правил и отложить раскрытие информации о сути проблем. Для остальных уязвимостей будет соблюдён график раскрытия деталей через 90 дней после уведомления производителя (информация об уязвимостях CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 и CVE-2023-26076 уже доступна в системе отслеживания ошибок, а для остальных 9 проблем пока не истекло 90 дней ожидания). Отмеченные уязвимости CVE-2023-2607* вызваны переполнением буфера при декодировании определённых опций и списков в кодеках NrmmMsgCodec и NrSmPcoCodec.
Источник: http://www.opennet.ru/opennews/art.shtml?num=58809