شرکت Qualcomm اطلاعاتی در خصوص سه نقص امنیتی با شدت بالا منتشر کرده است که گفته میشود در اکتبر 2023 مورد بهرهبرداری محدود و هدفمند قرار گرفتهاند.
آسیب پذیریهای اعلام شده به شرح زیر هستند:
• CVE-2023-33063 (شدت CVSS: 7.8): تخریب حافظه در سرویسهای DSP در طول call از HLOS به DSP
• CVE-2023-33106 (شدت CVSS: 8.4): تخریب حافظه در Graphics هنگام ارسال لیست بزرگی از نقاط همگامسازی در یک دستور AUX به IOCTL_KGSL_GPU_AUX_COMMAND
• CVE-2023-33107 (شدت CVSS: 8.4): تخریب حافظه در Graphics Linux در حین اختصاص حافظه مجازی مشترک در طول IOCTL call
گروه تحقیقاتی گوگل فاش کردند که این سه نقص به همراه آسیبپذیری CVE-2022-22071 (شدت CVSS: 8.4)، در حملات هدفمند مورد بهرهبرداری قرار گرفتهاند.
محصولات تحت تاثیر
آسیبپذیریها و حملات یادشده، تراشههای شرکت کوالکام را تحت تأثیر قرار دادهاند.
توصیههای امنیتی
با توجه به حساسیت موضوع، پیشنهاد میشود تا اقدامات اصلاحی یا کاهشی طبق دستورالعملهای شرکت سازنده اعمال گردد یا در صورت در دسترس نبودن اقدامات اصلاحی یا کاهشی، فعلاً استفاده از محصولات متوقف گردد.
منبع خبر:
[1] https://thehackernews.com/2023/12/qualcomm-releases-details-on-chip.html
- 25