Los conjuntos de chips Qualcomm y el BIOS de Lenovo obtienen actualizaciones de seguridad para corregir múltiples fallas

04 de enero de 2023Ravie LakshmanánSeguridad de firmware

Qualcomm el martes parches lanzados para abordar múltiples fallas de seguridad en sus conjuntos de chips, algunas de las cuales podrían explotarse para causar la divulgación de información y la corrupción de la memoria.

Las cinco vulnerabilidades, rastreadas desde CVE-2022-40516 hasta CVE-2022-40520, también afectan a las computadoras portátiles Lenovo ThinkPad X13s, lo que llevó al fabricante chino de PC a publicar actualizaciones de BIOS para tapar los agujeros de seguridad.

La lista de fallas es la siguiente:

• CVE-2022-40516, CVE-2022-40517 y CVE-2022-40520 (Puntuaciones CVSS: 8.4) – Corrupción de memoria en Core debido a desbordamiento de búfer basado en pila
• CVE-2022-40518 y CVE-2022-40519 (puntuaciones CVSS: 6.8) – Divulgación de información debido a sobrelectura de búfer en el núcleo

Las vulnerabilidades de desbordamiento de búfer basadas en la pila pueden tener efectos graves, como daños en los datos, bloqueos del sistema y ejecución de código arbitrario. Las lecturas excesivas de búfer, por otro lado, pueden usarse como armas para leer memoria fuera de los límites, lo que lleva a la exposición de datos secretos.

La explotación exitosa de las fallas antes mencionadas podría permitir que un adversario local con privilegios elevados provoque daños en la memoria o filtre información confidencial, Lenovo anotado en una alerta publicada el martes.

Lenovo también remedió cuatro vulnerabilidades de lectura excesiva de búfer en el BIOS ThinkPad X13 que podrían conducir a la divulgación de información. Los defectos se rastrean como CVE-2022-4432, CVE-2022-4433, CVE-2022-4434 y CVE-2022-4435.

Se recomienda a los usuarios de ThinkPad X13 que actualicen el BIOS a la versión 1.47 (N3HET75W) o posterior. A la empresa de seguridad de firmware Binarly se le atribuye el descubrimiento y la notificación de las nueve deficiencias.

El boletín de seguridad de enero de 2023 de Qualcomm elimina otras 17 vulnerabilidades, incluido un error crítico de corrupción de memoria en el componente automotriz (CVE-2022-33219, puntaje CVSS: 9.3) que surge como resultado de una falla de desbordamiento de búfer.