近日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了三星Tizen操作系統(tǒng)40個(gè)高危漏洞（CNVD-2017-03991）。運(yùn)行Tizen系統(tǒng)的三星電視、智能手表以及手機(jī)等設(shè)備將允許遠(yuǎn)程或本地攻擊者在不需要物理接觸的情況下攻擊或完全控制這些設(shè)備。

一、漏洞情況分析

Tizen（泰澤）是兩大Linux聯(lián)盟LiMo Foundation和Linux Foundation 整合資源優(yōu)勢(shì)，攜手英特爾和三星電子，共同開發(fā)的一個(gè)開源的、標(biāo)準(zhǔn)化的基于Linux的操作系統(tǒng)。該操作系統(tǒng)Tizen 除了將支持 HTML5 與基于 WAC 的應(yīng)用程序外，還可廣泛應(yīng)用于各種不同的裝置，其中包含智能型手機(jī)、平板計(jì)算機(jī)、智能電視、筆記本電腦與行車娛樂系統(tǒng)。

安全研究人員在三星Tizen操作系統(tǒng)中發(fā)現(xiàn)了40個(gè)未知安全漏洞（0Day），部分原因是不正確使用 strcpy()函數(shù)導(dǎo)致的緩沖區(qū)溢出，而且Tizen在傳輸特定數(shù)據(jù)時(shí)使用明文方式傳輸并沒有以一致的方式使用SSL加密進(jìn)行安全連接。在上述漏洞中有一個(gè)漏洞最為嚴(yán)重，該漏洞可被攻擊者劫持電視并安裝惡意代碼，允許攻擊者通過(guò)Tizen Store軟件獲取設(shè)備上的root權(quán)限并完全控制電視。

CNVD對(duì)上述漏洞綜合評(píng)價(jià)為“高危”。

二、漏洞影響范圍

漏洞影響運(yùn)行Tizen操作系統(tǒng)的智能型手機(jī)、平板計(jì)算機(jī)、智能電視、筆記本電腦與行車娛樂等設(shè)備（甚至包括一批計(jì)劃發(fā)布的設(shè)備）。

三、漏洞修復(fù)建議

廠商暫未給出具體解決方案，建議Tizen用戶及時(shí)關(guān)注廠商主頁(yè)：

http://www.samsung.com

附：參考鏈接：

https://motherboard.vice.com/en_us/article/samsung-tizen-operating-system-bugs-vulnerabilities

http://www.cnvd.org.cn/flaw/show/CNVD-2017-03991