Sonos выпустила обновление после того, как специалисты NCC Group обнаружили уязвимость в своих интеллектуальных динамиках.
Уязвимость под номером CVE-2023-50809 может быть использована для удаленного выполнения кода и даже записи пользовательского аудио. Исследователи продемонстрировали, как злоумышленники могут получить полный контроль над устройством и передать собранные данные на свой сервер.
Проблема затрагивала все версии динамиков до Sonos S2 версии 15.9 и Sonos S1 версии 11.12, выпущенных в октябре и ноябре 2023 года соответственно. MediaTek также выпустила исправления для своих чипов Wi-Fi, используемых в устройствах Sonos, но это произошло еще раньше - в марте 2024 года.
Sonos проинформировала пользователей об этой уязвимости в бюллетене по безопасности, опубликованном 1 августа, но исправления были доступны год назад. Это вызывает вопросы о том, почему компания не предупредила пользователей раньше и не дала им возможность самостоятельно установить исправления.
Уязвимость была обнаружена в драйвере беспроводной сети, который неправильно проверял информацию при подключении к маршрутизатору. Это говорит о том, что злоумышленник, находящийся рядом с устройством, может использовать эту уязвимость для удаленного выполнения произвольного кода.
]]>
