从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称: - (0Day) Visteon Infotainment VIP MCU Code Insufficient Validation of Data Authenticity Local Privilege Escalation Vulnerability 2. 漏洞编号: - ZDI-24-1188 - ZDI-CAN-23758 3. CVE编号: - CVE-2024-8356 4. CVSS评分: - 8.8,AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H 5. 受影响的厂商: - Visteon 6. 受影响的产品: - Infotainment 7. 漏洞详情: - 这个漏洞允许本地攻击者在受影响的Visteon Infotainment系统上提升权限。攻击者必须首先获得在目标系统上执行低权限代码的能力,才能利用这个漏洞。 - 具体的错误存在于VIP微控制器的固件更新过程中。该过程在将提供的固件映像编程到内部内存之前,没有正确验证其真实性。攻击者可以利用这个漏洞在VIP MCU的上下文中执行任意代码。 8. 额外细节: - 2024年4月24日 - ZDI向厂商报告了漏洞。 - 2024年4月30日 - ZDI请求更新。 - 2024年7月29日 - ZDI再次请求更新。 - 2024年8月16日 - ZDI通知厂商,计划在2024年8月30日发布0日漏洞公告。 9. 披露时间线: - 2024年4月24日 - 漏洞报告给厂商。 - 2024年8月30日 - 协调公开发布漏洞公告。 - 2024年8月30日 - 更新漏洞公告。 10. 信用: - Dmitry "InfoSecDJ" Janushkevich of Trend Micro Zero Day Initiative 11. 返回到公告: - 返回到公告 这些信息提供了关于漏洞的详细描述,包括漏洞的性质、影响范围、发现和披露过程等关键细节。