从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:(Pwn2Own) Sony XAV-AX5500 CarPlay TLV Stack-based Buffer Overflow Remote Code Execution Vulnerability 2. 漏洞编号:ZDI-24-877, ZDI-CAN-23238 3. CVE ID:CVE-2024-23933 4. CVSS Score:6.8, AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 5. 受影响的厂商:Sony 6. 受影响的产品:XAV-AX5500 7. 漏洞详情: - 允许物理存在的攻击者在受影响的Sony XAV-AX5500设备上执行任意代码。 - 无需认证即可利用此漏洞。 - 问题存在于Apple CarPlay协议的实现中,由于在将用户提供的数据复制到固定长度的堆栈缓冲区之前未正确验证长度。 - 攻击者可以利用此漏洞在设备的上下文中执行代码。 8. 额外详情: - Sony已发布更新以修复此漏洞。 - 更多详情可在以下链接中找到:https://www.sony.com/electronics/support/mobile-cd-players-digital-media-players-xav-series/xav-ax5500/software/00274156 9. 披露时间线: - 2024-02-02:漏洞报告给厂商 - 2024-06-21:协调公开发布漏洞公告 - 2024-08-15:更新公告 10. 信用:Midnight Blue / PHP Hooligans 这些信息提供了关于漏洞的详细描述,包括漏洞的严重性、受影响的设备和厂商,以及如何修复和披露的时间线。