高通公司披露了其晶片韌體和驅動程式中存在的 20 個漏洞信息,其中大部分漏洞用於基於該平台的設備中。 Android其中一項漏洞被評為“嚴重”,12項被評為“高”,7項被評為“中”。漏洞 CVE-2024-43047 已被特別關注。據Google威脅分析團隊稱,安全服務商和間諜軟體供應商已利用該漏洞發動零時差攻擊。
該漏洞存在於用於協調 DSP 端操作的開源 FastRPC 驅動程式中,該驅動程式適用於高通 DSP 晶片。問題是由釋放後使用 (use-after-free) 條件引起的,允許本地攻擊者破壞記憶體並在與 DSP 互動的特權系統服務層級執行程式碼。目前已有一個修補程式可以修復此問題,但尚未將其整合到使用高通 DSP 的裝置製造商的韌體中(例如,許多裝置都使用了存在漏洞的驅動程式)。 Android(智慧型手機)。此問題影響超過 60 種晶片型號,包括 FastConnect 和 Snapdragon 系列。
至於關鍵漏洞CVE-2024-33066,它是由Claroty研究小組發現的,並作為趨勢科技零日計畫的一部分引起了製造商的注意。該漏洞可以透過無線網路遠端利用。該問題是由於 WLAN 資源管理器中的輸入參數驗證不正確而導致的,這可能會導致日誌檔案重新導向到系統上的任何檔案。此問題影響 Immersive Home、IPQxxxx、QCAxxxx、QCFxxxx、QCNxxxx、SDXxx 和 Snapdragon X65 5G Modem-RF 等各系列晶片的系統。
它還識別出 11 個危險漏洞,這些漏洞會導致專有組件、封閉式攝影機驅動程式以及無線網路、GPU 和 Qualcomm DSP 的開放組件中的記憶體損壞。
來源: opennet.ru
