Le fabricant de puces Qualcomm a publié des mises à jour de sécurité pour corriger 17 vulnérabilités dans divers composants, tout en avertissant que trois autres jours zéro sont activement exploités.
Sur les 17 failles, trois sont classées critiques, 13 sont classées élevées et une est classée moyenne en gravité.
« Il y a des indications de Google Threat Analysis Group et de Google Project Zero selon lesquelles CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 et CVE-2023-33063 pourraient faire l’objet d’une exploitation limitée et ciblée », a déclaré la société de semi-conducteurs. dit dans un avis.
« Des correctifs pour les problèmes affectant les pilotes Adreno GPU et Compute DSP ont été mis à disposition, et les OEM ont été informés avec une forte recommandation de déployer des mises à jour de sécurité dès que possible. »
CVE-2022-22071 (score CVSS : 8,4), décrit comme une utilisation après libération dans la plate-forme de système d’exploitation automobile, a été initialement corrigé par la société dans le cadre de ses mises à jour de mai 2022.
Bien que des détails supplémentaires sur les autres failles restantes devraient être rendus publics en décembre 2023, la divulgation intervient le jour même où Arm a expédié des correctifs pour une faille de sécurité dans le pilote du noyau GPU Mali (CVE-2023-4211) qui a également fait l’objet d’une surveillance limitée. , exploitation ciblée.
Les mises à jour de Qualcomm d’octobre 2023 abordent également trois problèmes critiques, bien qu’il n’y ait aucune preuve qu’elles aient été utilisées de manière abusive :
- CVE-2023-24855 (score CVSS : 9,8) – Corruption de la mémoire dans le modem lors du traitement de la configuration liée à la sécurité avant AS Security Exchange.
- CVE-2023-28540 (score CVSS : 9,1) – Problème cryptographique dans le modem de données en raison d’une authentification incorrecte lors de la prise de contact TLS.
- CVE-2023-33028 (score CVSS : 9,8) – Corruption de la mémoire dans le micrologiciel WLAN lors d’une copie mémoire du cache pmk.
Il est conseillé aux utilisateurs d’appliquer les mises à jour des fabricants d’équipement d’origine (OEM) dès qu’elles sont disponibles.