Qualcomm a déployé des mises à jour de sécurité pour corriger près de deux douzaines de failles couvrant des composants propriétaires et open source, dont une qui a été activement exploitée dans la nature.
La vulnérabilité de haute gravité, identifiée comme CVE-2024-43047 (score CVSS : 7,8), a été décrite comme un bug d’utilisateur après libération dans le service DSP (Digital Signal Processor), ce qui pourrait entraîner une « corruption de la mémoire lors du maintien des cartes mémoire de la mémoire HLOS ».
Qualcomm a remercié Seth Jenkins et Conghui Wang, chercheurs de Google Project Zero, pour avoir signalé la faille, et Amnesty International Security Lab pour avoir confirmé l’activité dans la nature.
« Il y a des indications du Google Threat Analysis Group selon lesquelles CVE-2024-43047 pourrait faire l’objet d’une exploitation limitée et ciblée », a déclaré le fabricant de puces. dit dans un avis.
« Des correctifs pour le problème affectant le pilote FASTRPC ont été mis à la disposition des OEM, accompagnés d’une forte recommandation de déployer la mise à jour sur les appareils concernés dès que possible. »
L’ampleur de ces attaques et leur impact sont actuellement inconnus, même s’il est possible qu’elles aient été utilisées comme arme dans le cadre d’attaques de logiciels espions ciblant des membres de la société civile.
Le correctif d’octobre corrige également une faille critique dans le gestionnaire de ressources WLAN (CVE-2024-33066, score CVSS : 9,8) provoquée par une validation d’entrée incorrecte et pouvant entraîner une corruption de la mémoire.
Le développement intervient alors que Google libéré son propre bulletin mensuel de sécurité Android avec des correctifs pour 28 vulnérabilités, qui comprennent également des problèmes identifiés dans les composants d’Imagination Technologies, MediaTek et Qualcomm.