Уязвимость BDU:2025-00561

Идентификатор: BDU:2025-00561.

Наименование уязвимости: Уязвимость функций CHBString::const_iterator::incrementSteps() и CHBString::remove() службы UserData системы мультимедиа Mercedes-Benz User Experience (MBUX), позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функций CHBString::const_iterator::incrementSteps() и CHBString::remove() службы UserData системы мультимедиа Mercedes-Benz User Experience (MBUX) связана с переполнением буфера в динамической памяти при декодировании файлов формата UD2. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании
Уязвимое ПО: Прикладное ПО информационных систем Mercedes-Benz Mercedes-Benz User Experience NTG 6 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 17.01.2025.
CVSS 2.0: AV:L/AC:L/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению:
Использование рекомендаций:
Обновление программного обеспечения до актуальной версии.

Компенсирующие меры:
— ограничение физического доступа сторонних лиц к мультимедиа-системе автомобиля;
— резервирование критически важных данных и конфигураций системы;
— ограничение возможности несанкционированного доступа к мультимедиа-системе путём настройки парольного доступа к ней..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-37601.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://securelist.ru/mercedes-benz-head-unit-security-research/111516/
https://keenlab.tencent.com/en/whitepapers/Mercedes_Benz_Security_Research_Report_Final.pdf
https://github.com/klsecservices/Advisories/blob/master/K-Mercedes-Benz-2022-002.md
https://www.securitylab.ru/news/555644.php