Qualcomm mardi correctifs publiés pour corriger plusieurs failles de sécurité dans ses chipsets, dont certaines pourraient être exploitées pour provoquer la divulgation d’informations et la corruption de la mémoire.
Les cinq vulnérabilités – suivies de CVE-2022-40516 à CVE-2022-40520 – affectent également les ordinateurs portables Lenovo ThinkPad X13, incitant le fabricant chinois de PC à publier des mises à jour du BIOS pour combler les failles de sécurité.
La liste des défauts est la suivante –
- CVE-2022-40516, CVE-2022-40517 et CVE-2022-40520 (scores CVSS : 8,4) – Corruption de la mémoire dans le Core due à débordement de tampon basé sur la pile
- CVE-2022-40518 et CVE-2022-40519 (scores CVSS : 6,8) – Divulgation d’informations en raison de sur-lecture de la mémoire tampon dans le noyau
Les vulnérabilités de débordement de tampon basées sur la pile peuvent avoir de graves conséquences, telles que la corruption des données, les pannes du système et l’exécution de code arbitraire. Les sur-lectures de tampon, d’autre part, peuvent être utilisées pour lire la mémoire hors limites, ce qui conduit à l’exposition de données secrètes.
L’exploitation réussie des failles susmentionnées pourrait permettre à un adversaire local disposant de privilèges élevés de provoquer une corruption de la mémoire ou de divulguer des informations sensibles, Lenovo c’est noté dans une alerte publiée mardi.
Lenovo a également corrigé quatre autres vulnérabilités de lecture excessive du tampon dans le BIOS du ThinkPad X13 qui pourraient entraîner la divulgation d’informations. Les failles sont suivies comme CVE-2022-4432, CVE-2022-4433, CVE-2022-4434 et CVE-2022-4435.
Il est recommandé aux utilisateurs de ThinkPad X13 de mettre à jour le BIOS vers la version 1.47 (N3HET75W) ou une version plus récente. La société de sécurité des micrologiciels Binarly a été reconnue pour avoir découvert et signalé les neuf lacunes.
Le bulletin de sécurité de janvier 2023 de Qualcomm corrige en outre 17 autres vulnérabilités, dont un bogue de corruption de mémoire critique dans le composant automobile (CVE-2022-33219, score CVSS : 9,3) résultant d’une faille de dépassement de mémoire tampon.