Qualcomm’un düzinelerce yonga setini etkileyen, aktif olarak istismar edilen sıfır gün güvenlik açığı (CVE-2024-43047), Amerikan yarı iletken devi tarafından yamalı hale getirildi.
CVE-2024-43047 Hakkında
Pazartesi günü Qualcomm, çeşitli yonga setlerinde çalışan hem özel hem de açık kaynaklı yazılımları etkileyen 20 güvenlik açığına yönelik yamaları doğruladı.
Bunlar arasında, Dijital Sinyal İşlemcisi (DSP) hizmetinde “bellek haritalarını korurken bellek bozulmasına” yol açabilecek bir serbest kullanım sonrası güvenlik açığı olan CVE-2024-43047 yer alıyor. [high level operating system (HLOS)] hafıza.”
Güvenlik açığının CVSS dizesi, güvenlik açığının düşük ayrıcalıklara sahip yerel bir saldırgan tarafından hiçbir kullanıcı etkileşimi gerektirmeden tetiklenebileceğini gösteriyor.
Google Project Zero’dan Seth Jenkins ve Uluslararası Af Örgütü Güvenlik Laboratuvarı’ndan Conghui Wang, güvenlik açığını bildirdiler.
Jenkins, sorunu Uluslararası Af Örgütü ve Tehdit Analiz Grubu (TAG) ile işbirliği içinde bulduğunu doğruladı. Her iki kuruluşun da gazetecileri, aktivistleri ve muhalifleri hedef alan mobil casus yazılımları araştırmasıyla bilindiğinden, bu güvenlik açığının bir veya daha fazla ticari casus yazılım üreticisi tarafından istismar edilmesi muhtemel görünüyor.
Qualcomm, “Google Tehdit Analiz Grubu’ndan, CVE-2024-43047’nin sınırlı ve hedefli bir şekilde istismar edildiğine dair işaretler var” dedi ve orijinal ekipman üreticilerini “yayınlanan cihazlara mümkün olan en kısa sürede (…) yamalar dağıtmaya” çağırdı.
Jenkins ayrıca CVE-2024-43047’nin çok yakında Android cihazlara ekleneceği yönündeki umudunu da dile getirdi. (Ekim 2024 tarihli Android Güvenlik Bülteninde bu güvenlik açığından bahsedilmemiştir.)
Bir yıl önce Qualcomm, saldırganların Adreno GPU ve Compute DSP sürücülerindeki üç sıfır gün güvenlik açığından yararlandığı konusunda benzer şekilde uyarmıştı.