Sonosはこのほど「Security Advisory: 2024-0001」において、同社のスマートスピーカーに複数の深刻な脆弱性があることを伝えた。これらの脆弱性が悪用された場合、ユーザーの音声が攻撃者に盗聴されてしまう可能性がある。
報告されている脆弱性
報告されている脆弱性は次のとおり。
- CVE-2023-50809 - ワイヤレスドライバーでWPA2 4ウェイハンドシェイクのネゴシエーション中に情報要素を適切に検証されない欠陥。この欠陥によりリモートコードが実行される可能性がある
- CVE-2023-50810 - ファームウェアのU-Bootコンポーネントに存在する脆弱性。Linuxカーネル特権による永続的な任意のコードが実行される可能性がある
CVE-2023-50809はMediaTekが製造したサードパーティー製チップセットのワイヤレスドライバーに問題があったとされ、CVE-2023-50810はLinuxカーネルのコマンドラインパラメーターが上書きされ、最終的にセキュアブートの実装がバイパスされる可能性がある問題とされている。
影響を受けるプロダクト
脆弱性の影響を受けるとされるデバイスバージョンは次のとおり。
- Sonos S1 11.12より前のすべてのバージョン
- Sonos S2 15.9より前のすべてのバージョン
脆弱性が修正されたデバイスバージョンは次のとおり。
- Sonos S2 15.9およびこれ以降のすべてのバージョン
影響を受けるSonosスピーカーを使用しているユーザーはこれらの脆弱性が悪用される可能性があるため、ソフトウェアのバージョンを確認するとともに速やかに最新版にアップデートすることが推奨されている。