Sonosはこのほど「Security Advisory: 2024-0001」において、同社のスマートスピーカーに複数の深刻な脆弱性があることを伝えた。これらの脆弱性が悪用された場合、ユーザーの音声が攻撃者に盗聴されてしまう可能性がある。

  • Security Advisory: 2024-0001

    Security Advisory: 2024-0001

報告されている脆弱性

報告されている脆弱性は次のとおり。

  • CVE-2023-50809 - ワイヤレスドライバーでWPA2 4ウェイハンドシェイクのネゴシエーション中に情報要素を適切に検証されない欠陥。この欠陥によりリモートコードが実行される可能性がある
  • CVE-2023-50810 - ファームウェアのU-Bootコンポーネントに存在する脆弱性。Linuxカーネル特権による永続的な任意のコードが実行される可能性がある

CVE-2023-50809はMediaTekが製造したサードパーティー製チップセットのワイヤレスドライバーに問題があったとされ、CVE-2023-50810はLinuxカーネルのコマンドラインパラメーターが上書きされ、最終的にセキュアブートの実装がバイパスされる可能性がある問題とされている。

影響を受けるプロダクト

脆弱性の影響を受けるとされるデバイスバージョンは次のとおり。

  • Sonos S1 11.12より前のすべてのバージョン
  • Sonos S2 15.9より前のすべてのバージョン

脆弱性が修正されたデバイスバージョンは次のとおり。

  • Sonos S2 15.9およびこれ以降のすべてのバージョン

影響を受けるSonosスピーカーを使用しているユーザーはこれらの脆弱性が悪用される可能性があるため、ソフトウェアのバージョンを確認するとともに速やかに最新版にアップデートすることが推奨されている。