На этой неделе компания Qualcomm устранила 17 проблем в различных компонентах, включая три 0-day уязвимости в драйверах Adreno GPU и Compute DSP, которые хакеры уже активно использовали в своих атаках.
Сразу четыре опасные уязвимости (CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 и CVE-2023-33063) были найдены экспертами из команд Google Threat Analysis Group (TAG) и Project Zero. Qualcomm сообщает, что уже выпустила патчи для проблемы с драйверами, а также уведомила о багах затронутых OEM-производителей.
Пока известно лишь то, что уязвимость CVE-2022-22071 (8,4 балла по шкале CVSS) была обнаружена в мае 2022 года и связана с локальным use after free багом, затрагивая популярные чипы SD855, SD865 5G и SD888 5G.
При этом представители Qualcomm пока не опубликовали никаких подробностей об активно используемых уязвимостях CVE-2023-33106, CVE-2022-22071 и CVE-2023-33063, пообещав предоставить дополнительную информацию о них только в бюллетене безопасности за декабрь 2023 года.
Также октябрьские патчи Qualcomm исправляют и три другие критические проблемы, хотя об атаках на них не сообщается:
- CVE-2023-24855(9,8 балла по шкале CVSS) — повреждение памяти в модеме при обработке конфигурации, связанной с безопасностью, перед AS Security Exchange;
- CVE-2023-28540(9,1 балла по шкале CVSS) — криптографическая проблема в модеме Data Modem, связанная с неправильной аутентификацией в ходе рукопожатия TLS;
- CVE-2023-33028(9,8 балла по шкале CVSS) — повреждение памяти в прошивке WLAN при выполнении копирования pmk-кэша.
Компания рекомендует пользователям установить обновления OEM-производителей сразу, как только они станут доступны.
