Qualcomm ha implementado actualizaciones de seguridad para abordar casi dos docenas de fallas que abarcan componentes propietarios y de código abierto, incluido uno que ha sido explotado activamente en la naturaleza.
La vulnerabilidad de alta gravedad, rastreada como CVE-2024-43047 (puntuación CVSS: 7,8), se ha descrito como una error de usuario después de la liberación en el servicio del procesador de señal digital (DSP) que podría provocar «corrupción de la memoria mientras se mantienen los mapas de memoria de la memoria HLOS».
Qualcomm le dio crédito al investigador de Google Project Zero, Seth Jenkins-Google Project Zero y a Conghui Wang, por informar sobre la falla, y al Laboratorio de Seguridad de Amnistía Internacional por confirmar la actividad en estado salvaje.
«Hay indicios del Grupo de Análisis de Amenazas de Google de que CVE-2024-43047 puede estar bajo explotación limitada y dirigida», dijo el fabricante de chips. dicho en un aviso.
«Se han puesto a disposición de los OEM parches para el problema que afecta al controlador FASTRPC junto con una fuerte recomendación de implementar la actualización en los dispositivos afectados lo antes posible».
Actualmente se desconoce el alcance total de los ataques y su impacto, aunque es posible que hayan sido utilizados como arma como parte de ataques de software espía dirigidos a miembros de la sociedad civil.
El parche de octubre también soluciona una falla crítica en el Administrador de recursos WLAN (CVE-2024-33066, puntuación CVSS: 9.8) causada por una validación de entrada incorrecta y que podría provocar daños en la memoria.
El desarrollo viene como Google. liberado su propio boletín mensual de seguridad de Android con correcciones para 28 vulnerabilidades, que también incluyen problemas identificados en componentes de Imagination Technologies, MediaTek y Qualcomm.