El fabricante de chips Qualcomm ha publicado más información sobre tres fallas de seguridad de alta gravedad que, según dijo, fueron objeto de «explotación limitada y dirigida» en octubre de 2023.
El vulnerabilidades son como sigue –
- CVE-2023-33063 (Puntuación CVSS: 7,8) – Corrupción de la memoria en los servicios DSP durante una llamada remota de HLOS a DSP.
- CVE-2023-33106 (Puntuación CVSS: 8,4) – Corrupción de la memoria en los gráficos al enviar una lista grande de puntos de sincronización en un comando AUX al IOCTL_KGSL_GPU_AUX_COMMAND.
- CVE-2023-33107 (Puntuación CVSS: 8,4) – Corrupción de la memoria en Graphics Linux al asignar una región de memoria virtual compartida durante la llamada IOCTL.
El Grupo de Análisis de Amenazas de Google y el Proyecto Cero de Google revelaron en octubre de 2023 que las tres fallas, junto con CVE-2022-22071 (Puntuación CVSS: 8,4), han sido explotados en estado salvaje como parte de ataques limitados y dirigidos.
A un investigador de seguridad llamado luckyrb, al equipo de seguridad de Google Android y al investigador de TAG Benoît Sevens y Jann Horn de Google Project Zero se les atribuye el mérito de informar sobre las vulnerabilidades de seguridad, respectivamente.
Actualmente no se sabe cómo se han convertido en armas estas deficiencias y quiénes están detrás de los ataques.
Sin embargo, este acontecimiento ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agrega los cuatro errores a sus vulnerabilidades explotadas conocidas (KEV) catálogo, instando a las agencias federales a aplicar los parches antes del 26 de diciembre de 2023.
También sigue a Google anuncio que las actualizaciones de seguridad de diciembre de 2023 para Android abordan 85 fallas, incluido un problema crítico en el componente del sistema rastreado como CVE-2023-40088 que «podría conducir a la ejecución remota de código (próximo/adyacente) sin necesidad de privilegios de ejecución adicionales» y sin ningún la interacción del usuario.