安全公告編號:CNTA-2017-0024

近日，國家信息安全漏洞共享平臺（CNVD）收錄了三星Tizen操作系統40個高危漏洞（CNVD-2017-03991）。運行Tizen系統的三星電視、智能手表以及手機等設備將允許遠程或本地攻擊者在不需要物理接觸的情況下攻擊或完全控制這些設備。

一、漏洞情況分析

Tizen（泰澤）是兩大Linux聯盟LiMo Foundation和Linux Foundation 整合資源優勢，攜手英特爾和三星電子，共同開發的一個開源的、標準化的基于Linux的操作系統。該操作系統Tizen 除了將支持 HTML5 與基于 WAC 的應用程序外，還可廣泛應用于各種不同的裝置，其中包含智能型手機、平板計算機、智能電視、筆記本電腦與行車娛樂系統。

安全研究人員在三星Tizen操作系統中發現了40個未知安全漏洞（0Day），部分原因是不正確使用 strcpy()函數導致的緩沖區溢出，而且Tizen在傳輸特定數據時使用明文方式傳輸并沒有以一致的方式使用SSL加密進行安全連接。在上述漏洞中有一個漏洞最為嚴重，該漏洞可被攻擊者劫持電視并安裝惡意代碼，允許攻擊者通過Tizen Store軟件獲取設備上的root權限并完全控制電視。

CNVD對上述漏洞綜合評價為“高危”。

二、漏洞影響范圍

漏洞影響運行Tizen操作系統的智能型手機、平板計算機、智能電視、筆記本電腦與行車娛樂等設備（甚至包括一批計劃發布的設備）。

三、漏洞修復建議

廠商暫未給出具體解決方案，建議Tizen用戶及時關注廠商主頁：

http://www.samsung.com

附：參考鏈接：

https://motherboard.vice.com/en_us/article/samsung-tizen-operating-system-bugs-vulnerabilities

http://www.cnvd.org.cn/flaw/show/CNVD-2017-03991