从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:(0Day) Visteon Infotainment REFLASH_DDU_FindFile Command Injection Remote Code Execution Vulnerability 2. 漏洞编号:ZDI-24-1191, ZDI-CAN-23420 3. CVE编号:CVE-2024-8359 4. CVSS分数:6.8,AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 5. 受影响的厂商:Visteon 6. 受影响的产品:Infotainment 7. 漏洞详情: - 物理存在的攻击者可以在受影响的Visteon Infotainment系统上执行任意代码。 - 特定的错误存在于REFLASH_DDU_FindFile函数中。一个构造的软件更新文件可以触发由用户提供的字符串组成的系统调用。攻击者可以利用此漏洞在设备的上下文中执行代码。 8. 额外细节: - 2024年4月24日,ZDI向厂商报告了漏洞。 - 2024年4月30日,ZDI要求更新。 - 2024年7月29日,ZDI再次要求更新。 - 2024年8月16日,ZDI通知厂商计划在2024年8月30日发布0日漏洞公告。 9. 缓解措施:鉴于漏洞的性质,唯一的缓解策略是限制与应用程序的交互。 10. 披露时间线: - 2024年4月24日 - 漏洞报告给厂商。 - 2024年8月30日 - 协调公共漏洞公告发布。 - 2024年8月30日 - 公告更新。 11. 信用:Dmitry "InfoSecDJ" Janushkevich of Trend Micro Zero Day Initiative