Η Qualcomm προειδοποιεί για τρεις ευπάθειες zero-day στα προγράμματα οδήγησης GPU και Compute DSP, οι οποίες αξιοποιούνται ενεργά από κακόβουλους παράγοντες για επιθέσεις.
Δείτε επίσης: Η Qualcomm θα προμηθεύει την Apple με 5G chips έως το 2026!
Η αμερικανική εταιρεία έλαβε ενημέρωση από την ομάδα ανάλυσης απειλών (TAG) της Google και το Project Zero, ότι οι ευπάθειες CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 και CVE-2023-33063 ενδέχεται να χρησιμοποιούνται σε περιορισμένες, στοχευμένες επιθέσεις.
Η Qualcomm ανακοίνωσε την κυκλοφορία ενημερώσεων ασφαλείας που αντιμετωπίζουν προβλήματα στα προγράμματα οδήγησης Adreno GPU και Compute DSP. Επιπλέον, έχουν ειδοποιηθεί οι επηρεαζόμενοι κατασκευαστές εξοπλισμού.
Το ελάττωμα CVE-2022-22071 αποκαλύφθηκε τον Μάιο του 2022. Αυτό το ελάττωμα έχει υψηλή σοβαρότητα (CVSS v3.1: 8.4) και μπορεί να εκμεταλλευτεί τοπικά μέσα από σφάλματα που επηρεάζουν δημοφιλή τσιπ όπως τα SD855, SD865 5G και SD888 5G.
Η Qualcomm δεν έχει ανακοινώσει λεπτομέρειες σχετικά με τις ευπάθειες CVE-2023-33106, CVE-2022-22071 και CVE-2023-33063 που έχουν ενεργοποιηθεί, αλλά θα παρέχει περισσότερες πληροφορίες μέσω του ενημερωτικού δελτίου για το Δεκέμβριο του 2023.
Το ενημερωτικό δελτίο ασφαλείας αυτού του μήνα προειδοποιεί επίσης για τρία άλλα κρίσιμα τρωτά σημεία:
CVE-2023-24855: Καταστροφή της μνήμης στο στοιχείο μόντεμ της Qualcomm που εμφανίζεται κατά την επεξεργασία διαμορφώσεων που σχετίζονται με την ασφάλεια πριν από το AS Security Exchange. (CVSS v3.1: 9.8)
CVE-2023-28540: Κρυπτογραφικό πρόβλημα στο στοιχείο μόντεμ δεδομένων που προκύπτει από ακατάλληλο έλεγχο ταυτότητας κατά τη χειραψία TLS. (CVSS v3.1: 9.1)
CVE-2023-33028: Καταστροφή της μνήμης στο υλικολογισμικό WLAN που συμβαίνει κατά την αντιγραφή της κρυφής μνήμης pmk χωρίς την εκτέλεση ελέγχων μεγέθους. (CVSS v3.1: 9.8)
Δείτε ακόμα: Qualcomm: Τα νέα chip της θέλουν να φέρουν την ισχύ του Steam Deck στο Android
Πέρα από αυτά, η Qualcomm αποκάλυψε 13 σοβαρά ελαττώματα και τρεις κρίσιμες ευπάθειες υψηλής σοβαρότητας που εντόπισαν οι μηχανικοί της.
Καθώς τα ελαττώματα CVE-2023-24855, CVE-2023-2854 και CVE-2023-33028 έχουν όλα δυνατότητα απομακρυσμένης εκτέλεσης, θεωρούνται κρίσιμα από πλευράς ασφάλειας. Ωστόσο, δεν υπάρχουν ενδείξεις για τυχόν εκμετάλλευσή τους. Δυστυχώς, οι επηρεαζόμενοι καταναλωτές έχουν περιορισμένο περιθώριο δράσης, εκτός από το να εφαρμόζουν τις διαθέσιμες ενημερώσεις μόλις τις λαμβάνουν μέσω των καναλιών OEM.
Οι ευπάθειες των προγραμμάτων οδήγησης συνήθως απαιτούν τοπική πρόσβαση για εκμετάλλευση και συνήθως επιτυγχάνονται μέσω μολύνσεων από κακόβουλο λογισμικό. Για αυτόν τον λόγο, συνιστάται στους ιδιοκτήτες συσκευών Android να περιορίζουν τον αριθμό των εφαρμογών που κάνουν λήψη και να επιλέγουν μόνο αξιόπιστες πηγές λογισμικού.
Δείτε επίσης: Sony και Qualcomm επεκτείνουν τη συνεργασία τους για νέα smartphones
Τα zero-days είναι ευπάθειες σε λογισμικό που δεν έχουν ανακαλυφθεί ακόμα από τον κατασκευαστή του λογισμικού και δεν έχουν παραδοθεί σε ενημερώσεις ή διορθώσεις. Αυτές οι ευπάθειες μπορούν να εκμεταλλευτούν από κακόβουλους χάκερ για να προκαλέσουν ζημιά ή να αποκτήσουν πρόσβαση σε συστήματα χωρίς την έγκριση των χρηστών. Οι ευπάθειες αυτές μπορούν να είναι σε διάφορα μέρη του λογισμικού, όπως στον κώδικα της εφαρμογής, το λειτουργικό σύστημα ή τους οδηγούς των συσκευών. Όταν οι χάκερ ανακαλύπτουν μια zero-day ευπάθεια, την εκμεταλλεύονται πριν ο κατασκευαστής του λογισμικού γνωρίζει για την ύπαρξή της και χωρίς να την έχει επιδιορθώσει.
