Производителят на чипове Qualcomm пусна актуализации за сигурност, за да отстрани 17 уязвимости в различни компоненти, като същевременно предупреди, че три други нулеви дни са в процес на активна експлоатация.
От 17-те недостатъка три са оценени като критични, 13 са оценени като високи, а един е оценен като среден по сериозност.
„Има индикации от Google Threat Analysis Group и Google Project Zero, че CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 и CVE-2023-33063 може да са подложени на ограничена, целенасочена експлоатация“, се казва в съобщението на компанията за полупроводници.
„Пачовете за проблемите, засягащи драйверите Adreno GPU и Compute DSP, са предоставени и производителите на оригинално оборудване са уведомени с настоятелна препоръка да внедрят актуализации на сигурността възможно най-скоро.“
CVE-2022-22071 (CVSS score: 8.4), описан като use-after-free в Automotive OS Platform, първоначално беше поправен от компанията като част от актуализациите й през май 2022 г.
Макар че се очаква допълнителната конкретика за останалите други недостатъци да бъде оповестена през декември 2023 г., разкритието идва в същия ден, в който Arm достави кръпки за недостатък в сигурността в драйвера на ядрото на графичния процесор Mali (CVE-2023-4211), който също е станал обект на ограничена, целенасочена експлоатация.
Актуализациите на Qualcomm от октомври 2023 г. също са насочени към три критични проблема, въпреки че няма доказателства, че с тях е злоупотребено –
- CVE-2023-24855 (CVSS оценка: 9,8) – Повреда на паметта в модема при обработване на конфигурация, свързана със сигурността, преди AS Security Exchange.
- CVE-2023-28540 (CVSS score: 9.1) – Криптографски проблем в Data Modem поради неправилно удостоверяване по време на TLS handshake.
- CVE-2023-33028 (CVSS score: 9.8) – Повреда на паметта във фърмуера на WLAN при извършване на копиране на паметта на pmk кеша.
Препоръчва се на потребителите да прилагат актуализациите от производителите на оригинално оборудване (OEM) веднага щом станат достъпни.
