นักวิจัยด้านความปลอดของกูเกิล 2 ทีม ตรวจพบช่องโหว่ CVE-2024-44068 บนชิป Exynos หลายรุ่น เป็นช่องโหว่ zero-day ระดับความอันตรายสูง ที่ทำให้แฮกเกอร์สามารถฝังโค้ดบนหน่วยความจำของอุปกรณ์เป้าหมายเพื่อยกระดับสิทธิ์ (permission) จนนำไปสู่การรีโมตควบคุมเครื่องได้ คล้ายกับกรณีช่องโหว่ CVE-2024-43047 บนชิป Qualcomm ก่อนหน้านี้

ชิป Exynos ที่ได้รับผลกระทบคือ Exynos 9820, 9825, 980, 990, 850 และ W920 รวม 6 รุ่น ยกตัวอย่างมือถือที่ใช้ชิปเหล่านี้บางส่วน เช่น

  • Galaxy S10
  • Galaxy S20
  • Galaxy S20 FE
  • Galaxy Note10
  • Galaxy Note20
  • Galaxy A04s
  • Galaxy A13
  • Galaxy A14
  • Galaxy A21s
  • Galaxy A51 5G
  • Galaxy A71 5G
  • Galaxy XCover 5
  • Galaxy Watch4
  • Galaxy Watch5

หลังกูเกิลรายงานการพบช่องโหว่ข้างต้นไปยังซัมซุง ซัมซุงก็ได้ออกแพตช์มาแก้ไขร่วมกับช่องโหว่อื่น ๆ ในอัปเดตประจำเดือนตุลาคมแล้ว

ปัญหาคือ มือถือบางรุ่นในลิสต์หมดระยะซัปพอร์ตไปแล้ว เช่น Galaxy S10 และ Galaxy Note10 ทำให้ไม่ได้รับการอัปเดตแพตช์ใด ๆ อีกต่อไป แต่หากเป็นกรณี ย่อมหมายความว่ามือถือรุ่นนั้น ๆ เปิดตัวมานานมากแล้ว อาจถึงเวลาอันสมควรที่ผู้ใช้งานต้องมองหามือถือรุ่นใหม่ เพื่อความปลอดภัยในระยะยาว

ทั้งนี้ ผู้อ่านสามารถเช็กชื่อมือถือซัมซุงที่ยังได้รับการอัปเดตซอฟต์แวร์อยู่ ได้ที่เว็บไซต์ของซัมซุงโดยตรง ส่วนวิธีการอัปเดต ให้ไปที่ Settings > Software update > Download and Install ตามลำดับ

ที่มา : The Register | Samsung | Google Project Zero