Ford waarschuwt eigenaren van verschillende automodellen voor een kwetsbaarheid in de wifi-driver van het infotainmentsysteem waardoor remote code execution mogelijk is. Een beveiligingsupdate is nog niet beschikbaar. Klanten die zich zorgen maken wordt geadviseerd om de wifi-functionaliteit van het SYNC 3-infotainmentsysteem uit te schakelen.
Het beveiligingslek, aangeduid als CVE-2023-29468, werd gevonden door onderzoekers van Texas Instruments (pdf). Door het versturen van een speciaal geprepareerd wifi-frame naar het infotainmentsysteem kan er een buffer overflow ontstaan, die tot het uitvoeren van code kan leiden. Een aanvaller zou zo het geheugen van de host processor kunnen overschrijven, aldus een uitleg van Texas Instruments.
Volgens Ford zijn er nog geen gevallen bekend van misbruik en zou een aanvaller over "aanzienlijke expertise" moeten beschikken en in de buurt van het slachtoffer moeten zijn. De autofabrikant voegt toe dat de veiligheid van inzittenden bij eventueel misbruik niet in het geding is, aangezien het infotainmentsysteem via een firewall is afgeschermd van bediening zoals sturen en remmen.
Ford zegt binnenkort met een update te komen die online is te downloaden en via een usb-stick is te installeren. In de tussentijd kunnen gebruikers de wifi-functionaliteit van het infotainmentsysteem uitschakelen. Het probleem speelt bij meerdere modellen, waaronder de Ford Escape, Ford Maverick, Ford Expedition en Ford Transit.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.