Chipmaker Qualcomm, çeşitli bileşenlerdeki 17 güvenlik açığını gidermek için güvenlik güncellemeleri yayınlarken, diğer üç sıfır günün de aktif olarak istismar edildiği konusunda uyarıda bulundu.
17 kusurdan üçü Kritik, 13’ü Yüksek ve biri Orta önemde olarak derecelendirildi.
Yarı iletken şirketi, “Google Tehdit Analiz Grubu ve Google Project Zero’dan CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 ve CVE-2023-33063’ün sınırlı, hedefli istismar altında olabileceğine dair göstergeler var” dedi. söz konusu bir danışma belgesinde.
“Adreno GPU ve Compute DSP sürücülerini etkileyen sorunlara yönelik yamalar kullanıma sunuldu ve OEM’lere, güvenlik güncellemelerini mümkün olan en kısa sürede dağıtmaları yönünde güçlü bir öneriyle bilgi verildi.”
CVE-2022-22071 Otomotiv İşletim Sistemi Platformunda ücretsiz kullanım olarak tanımlanan (CVSS puanı: 8,4), ilk olarak şirket tarafından Mayıs 2022 güncellemelerinin bir parçası olarak yamalanmıştı.
Geriye kalan diğer kusurlarla ilgili ek ayrıntıların Aralık 2023’te kamuya açıklanması beklenirken, bu açıklama Arm’ın Mali GPU Çekirdek Sürücüsündeki (CVE-2023-4211) yine sınırlı koruma altına alınan bir güvenlik kusuru için yamaları gönderdiği gün geldi. , hedefli sömürü.
Qualcomm’un Ekim 2023 güncellemeleri aynı zamanda üç kritik sorunu da ele alıyor, ancak bunların doğada kötüye kullanıldığına dair hiçbir kanıt yok:
- CVE-2023-24855 (CVSS puanı: 9,8) – AS Security Exchange öncesinde güvenlikle ilgili yapılandırma işlenirken Modemde bellek bozulması.
- CVE-2023-28540 (CVSS puanı: 9,1) – TLS anlaşması sırasında hatalı kimlik doğrulama nedeniyle Veri Modeminde şifreleme sorunu.
- CVE-2023-33028 (CVSS puanı: 9.8) – PMk önbelleğinin bellek kopyasını yaparken WLAN Firmware’inde bellek bozulması.
Kullanıcıların, orijinal ekipman üreticilerinin (OEM’ler) sunduğu güncellemeleri, kullanılabilir olur olmaz uygulamaları önerilir.