Новости 0-day в Qualcomm: три уязвимости используются в целевых атаках на Android устройства

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Проблему обнаружили еще в октябре. Что удалось узнать за это время?


0fasqij8ayb5b46dfu0353ngt8540ge5.jpg


Компания Для просмотра ссылки Войди или Зарегистрируйся , всемирно известный производитель микросхем, опубликовала дополнительную информацию о трех уязвимостях высокой степени критичности в своих продуктах. Баги, о которых стало известно еще в октябре 2023 года, затрагивают графический процессор Adreno и компонент DSP Services в чипсетах Snapdragon. Это позволяет злоумышленникам удаленно выполнить произвольный код на устройстве. Известно, что проблема уже подверглась «ограниченной и целенаправленной эксплуатации».

Речь идет о следующих уязвимостях:

  • CVE-2023-33063 (оценка CVSS: 7,8) — возникает при удалённом вызове из операционной системы к DSP. Приводит к переполнению буфера и может быть использована злоумышленником для внедрения вредоносного кода.
  • CVE-2023-33106 (оценка CVSS: 8,4) — проявляется в графическом процессоре Adreno, интегрированном в Snapdragon. В графической системе возникает проблема с управлением памятью, когда происходит обработка обширного списка точек синхронизации. Эти данные передаются в рамках специальной вспомогательной команды (AUX command) через интерфейс IOCTL_KGSL_GPU_AUX_COMMAND.
  • CVE-2023-33107 (оценка CVSS: 8,4) — похожая проблема в графических драйверах Linux для Adreno. Опять же даёт возможность злоумышленнику обмануть процессор и выполнить любые несанкционированные действия.

В октябре 2023 года группа анализа угроз Google (TAG) и команда Google Project Zero сообщили, что эти три ошибки наряду с CVE-2022-22071 (оценка CVSS: 8,4) были использованы в ограниченных целевых атаках.

За Для просмотра ссылки Войди или Зарегистрируйся дефектов отвечают исследователь Бенуа Севенс и Джанн Хорн из Project Zero, а также исследователь luckyrb и команда Android Security.

Пользователям устройств с чипами Qualcomm настоятельно рекомендуют установить обновления безопасности от производителей при первой же возможности.

Пока точно неизвестно, как именно эксплуатировались эти недостатки и кто стоит за атаками. Тем не менее, Агентство кибербезопасности США (CISA) Для просмотра ссылки Войди или Зарегистрируйся все 3 бага в свой каталог известных эксплуатируемых уязвимостей (KEV) и призвало федеральные агентства установить патчи к 26 декабря 2023 года.
 
Источник новости
www.securitylab.ru

Похожие темы