Le fabricant de puces Qualcomm a publié plus d’informations sur trois failles de sécurité de haute gravité qui, selon lui, faisaient l’objet d’une « exploitation limitée et ciblée » en octobre 2023.
Le vulnérabilités sont les suivants –
- CVE-2023-33063 (score CVSS : 7,8) – Corruption de la mémoire dans les services DSP lors d’un appel à distance de HLOS vers DSP.
- CVE-2023-33106 (score CVSS : 8,4) – Corruption de la mémoire dans les graphiques lors de la soumission d’une grande liste de points de synchronisation dans une commande AUX à IOCTL_KGSL_GPU_AUX_COMMAND.
- CVE-2023-33107 (score CVSS : 8,4) – Corruption de la mémoire dans Graphics Linux lors de l’attribution d’une région de mémoire virtuelle partagée lors d’un appel IOCTL.
Le groupe d’analyse des menaces de Google et Google Project Zero ont révélé en octobre 2023 que les trois failles, ainsi que CVE-2022-22071 (score CVSS : 8,4), ont été exploitées dans le cadre d’attaques limitées et ciblées.
Un chercheur en sécurité nommé Luckyrb, l’équipe de sécurité de Google Android, ainsi que le chercheur TAG Benoît Sevens et Jann Horn de Google Project Zero ont été respectivement crédités d’avoir signalé les vulnérabilités de sécurité.
On ne sait pas actuellement comment ces lacunes ont été exploitées, ni qui est à l’origine de ces attaques.
Cette évolution a toutefois incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à ajoutez les quatre bugs à ses vulnérabilités exploitées connues (KEV), exhortant les agences fédérales à appliquer les correctifs d’ici le 26 décembre 2023.
Il suit également celui de Google annonce que les mises à jour de sécurité de décembre 2023 pour Android corrigent 85 failles, y compris un problème critique dans le composant système suivi comme CVE-2023-40088 qui « pourrait conduire à l’exécution de code à distance (proximal/adjacent) sans aucun privilège d’exécution supplémentaire nécessaire » et sans aucun interaction de l’utilisateur.