El fabricante de chips Qualcomm ha publicado actualizaciones de seguridad para abordar 17 vulnerabilidades en varios componentes, al tiempo que advierte que otros tres días cero han sido explotados activamente.
De los 17 defectos, tres están clasificados como críticos, 13 como altos y uno como de gravedad media.
«Hay indicios de Google Threat Analysis Group y Google Project Zero de que CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 y CVE-2023-33063 pueden estar bajo explotación limitada y dirigida», dijo la empresa de semiconductores. dicho en un aviso.
«Se han puesto a disposición parches para los problemas que afectan a los controladores Adreno GPU y Compute DSP, y se ha notificado a los OEM con una fuerte recomendación de implementar actualizaciones de seguridad lo antes posible».
CVE-2022-22071 (Puntuación CVSS: 8,4), descrito como un uso después de la liberación en la plataforma de sistema operativo automotriz, fue parcheado originalmente por la compañía como parte de sus actualizaciones de mayo de 2022.
Si bien se espera que se hagan públicos detalles adicionales sobre las otras fallas restantes en diciembre de 2023, la divulgación se produce el mismo día en que Arm envió parches para una falla de seguridad en el controlador kernel de la GPU de Mali (CVE-2023-4211) que también se encuentra bajo control limitado. , explotación dirigida.
Las actualizaciones de Qualcomm de octubre de 2023 también abordan tres problemas críticos, aunque no hay evidencia de que se haya abusado de ellos en la naturaleza:
- CVE-2023-24855 (Puntuación CVSS: 9,8) – Corrupción de la memoria en el módem mientras se procesa la configuración relacionada con la seguridad antes de AS Security Exchange.
- CVE-2023-28540 (Puntuación CVSS: 9,1) – Problema criptográfico en el módem de datos debido a una autenticación incorrecta durante el protocolo de enlace TLS.
- CVE-2023-33028 (Puntuación CVSS: 9,8) – Corrupción de la memoria en el firmware de WLAN al realizar una copia de la memoria del caché pmk.
Se recomienda a los usuarios que apliquen las actualizaciones de los fabricantes de equipos originales (OEM) tan pronto como estén disponibles.