近日,为辰安全实验室监测到部分智能网联汽车使用的开源项目busybox代码执行漏洞(CVE-2022-30065)。该漏洞影响多数车机娱乐系统IVI、TBOX、仪表等系统安全,截至发稿,Busybox官方已发布修复版本。 漏洞背景 Busybox是一个遵循GPL协议、以自由软件形式发行的应用程序。Busybox在单一的可执行文件中提供了精简的Unix工具集,可运行于多款POSIX环境的操作系统,例如Linux,Hurd,QNX,FreeBSD等等。由于Busybox可执行文件的文件比较小,使得它在智能汽车上运用非常广泛。 该漏洞由于是Busybox的AWK模块使用释放后的内存,并且在copyvar函数中处理特制的AWK模式时可导致代码执行。地址:https://www.busybox.net/ 漏洞危害 该漏洞为高危漏洞,官方CVSS评分7.8,对车端可能造成重大安全风险—— |
