Chipmaker Qualcomm, Ekim 2023’te “sınırlı, hedefli istismar” kapsamına girdiğini söylediği üç yüksek önem dereceli güvenlik açığı hakkında daha fazla bilgi yayınladı.
güvenlik açıkları aşağıdaki gibidir –
- CVE-2023-33063 (CVSS puanı: 7,8) – HLOS’tan DSP’ye uzaktan arama sırasında DSP Hizmetlerinde bellek bozulması.
- CVE-2023-33106 (CVSS puanı: 8.4) – IOCTL_KGSL_GPU_AUX_COMMAND’a bir AUX komutundaki senkronizasyon noktalarının geniş bir listesini gönderirken Grafiklerde bellek bozulması.
- CVE-2023-33107 (CVSS puanı: 8.4) – IOCTL çağrısı sırasında paylaşılan sanal bellek bölgesi atanırken Graphics Linux’ta bellek bozulması.
Google’ın Tehdit Analizi Grubu ve Google Project Zero, Ekim 2023’te üç kusurun yanı sıra CVE-2022-22071 (CVSS puanı: 8,4), sınırlı, hedefli saldırıların bir parçası olarak vahşi doğada istismar edilmiştir.
Luckyrb adlı bir güvenlik araştırmacısı, Google Android Güvenlik ekibi ve TAG araştırmacısı Benoît Sevens ve Google Project Zero’dan Jann Horn, sırasıyla güvenlik açıklarını bildirdikleri için itibar kazandılar.
Bu eksikliklerin nasıl silah haline getirildiği ve saldırıların arkasında kimin olduğu şu anda bilinmiyor.
Ancak bu gelişme ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nı (CISA) harekete geçirdi. dört hatayı ekle Bilinen İstismar Edilen Güvenlik Açıklarına (KEV) katalog, federal kurumları 26 Aralık 2023’e kadar yamaları uygulamaya çağırıyor.
Aynı zamanda Google’ın da takip ettiği duyuru Android için Aralık 2023 güvenlik güncellemelerinin, CVE-2023-40088 olarak takip edilen Sistem bileşenindeki “hiçbir ek yürütme ayrıcalıklarına ihtiyaç duymadan uzaktan (yakın/bitişik) kod yürütülmesine yol açabilecek” kritik bir sorun da dahil olmak üzere 85 kusuru ele aldığı ve herhangi bir Kullanıcı etkileşimi.