شرکت Qualcomm در خصوص سه آسیبپذیری روز صفر در درایورهای GPU و Compute DSP خود که مهاجمان در حال بهرهبرداری از آنها هستند، هشدار داد. طبق اعلام گروههای امنیتی، تعدادی آسیبپذیری با شناسههای CVE-2023-33106، CVE-2023-33107، CVE-2022-22071 و CVE-2023-33063 ممکن است مورد هدف و بهرهبرداری قرار داشته باشند. شرکت Qualcomm اعلام کرد که وصلههای امنیتی را برای برطرف کردن آسیبپذیریهای موجود در درایورهای Adreno GPU و Compute DSP منتشر و اطلاع رسانی کرده است.
آسیبپذیری با شناسه CVE-2022-22071 که قبلا در مه 2022 افشاء شد در سیستم امتیازدهی CVSS v3.1 دارای شدت 8.4 میباشد و از نوع use after free است که چیپهایی همچون SD855، SD865 5G و SD888 5G را تحت تاثیر قرار میدهد. Qualcomm هنوز جرئیاتی در خصوص سه آسیبپذیری CVE-2023-33106، CVE-2022-22071 و CVE-2023-33063 که در حال حاضر در حال بهرهبرداری هستند منتشر نکرده است و اطلاعات بیشتر در بیانیهای در دسامبر 2023 منتشر خواهد.
- آسیبپذیری با شناسه CVE-2023-24855 و شدت 9.8 که از نوع تخریب حافظه یا Memory corruption است در مولفه مودم Qualcomm هنگام پردازش پیکربندیهای مربوط به امنیت قبل از AS Security Exchange رخ میدهد.
- آسیبپذیری دیگر با شناسه CVE-2023-28540 و شدت 9.1 یک نقص رمزنگاری در مولفه Data Modem است که ناشی از احراز هویت نامناسب در مرحله TLS handshake میباشد.
- آسیبپذیری CVE-2023-33028 با شدت 9.8 از نوع تخریب حافظه یا Memory corruption در میانافزار WLAN بوده و هنگام کپی کردن حافظه موقت pmk به دلیل عدم بررسی سایز آن اتفاق میافتد.
در کنار این آسیبپذیریها Qualcomm وجود سیزده آسیبپذیری با شدت بالا را اعلام کرده است و سه آسیبپذیری بحرانی دیگر نیز توسط مهندسان این شرکت کشف شدهاند. از آنجایی که سه آسیبپذیری CVE-2023-24855، CVE-2023-2854 و CVE-2023-33028 هنوز از راه دور قابل بهرهبرداری هستند، از نظر امنیتی بحرانی محسوب میشوند ولی شواهدی مبنی بر سوء استفاده از آنها کشف نشده است. کاربران باید به محض انتشار به روزرسانیهای امنیتی توسط کانالهای OEM نسبت به نصب وصلهها اقدام نمایند.
برای بهرهبرداری از آسیبپذیریهای موجود در درایورها معمولاً به دسترسی لوکال نیاز است، که عمدتاً از طریق آلودگی به بدافزار به دست میآید، بنابراین صاحبان دستگاههای اندرویدی باید تنها نسبت به نصب نرمافزار از منابع معتبر اقدام نمایند.
منابع خبر:
https://www.bleepingcomputer.com/news/security/qualcomm-says-hackers-exploit-3-zero-days-in-its-gpu…
https://docs.qualcomm.com/product/publicresources/securitybulletin/october-2023-bulletin.html
- 77