Qualcomm, GPU ve Compute DSP sürücülerinde, bilgisayar korsanlarının saldırılarda aktif olarak yararlandığı üç sıfır gün güvenlik açığı konusunda uyarıyor.
Google’ın Tehdit Analiz Grubu (TAG) ve Project Zero ekipleri Amerikan yarı iletken şirketine şunları söyledi: CVE-2023-33106, CVE-2023-33107, CVE-2022-22071Ve CVE-2023-33063 sınırlı ve hedefli kullanım altında olabilir.
Qualcomm, Adreno GPU ve Compute DSP sürücülerindeki sorunları gideren güvenlik güncellemeleri yayınladığını ve etkilenen OEM’lerin de bilgilendirildiğini söyledi.
CVE-2022-22071 kusuru Mayıs 2022’de açıklandı ve SD855, SD865 5G ve SD888 gibi popüler çipleri etkileyen ücretsiz hatanın ardından yüksek önem derecesine sahip (CVSS v3.1: 8.4) yerel olarak istismar edilebilir.
5G
Qualcomm, aktif olarak yararlanılan CVE-2023-33106, CVE-2022-22071 ve CVE-2023-33063 kusurları hakkında herhangi bir ayrıntı yayınlamadı ve Aralık 2023 bülteninde daha fazla bilgi sunacak.
Bu ayın güvenlik bülteni ayrıca diğer üç kritik güvenlik açığı konusunda da uyarıda bulunuyor:
- CVE-2023-24855: AS Güvenlik Değişimi’nden önce güvenlikle ilgili yapılandırmalar işlenirken Qualcomm’un Modem bileşeninde meydana gelen bellek bozulması. (CVSS v3.1: 9.8)
- CVE-2023-28540: TLS anlaşması sırasında hatalı kimlik doğrulamasından kaynaklanan Veri Modem bileşenindeki şifreleme sorunu. (CVSS v3.1: 9.1)
- CVE-2023-33028: Boyut kontrolleri yapılmadan pmk önbellek kopyalanırken WLAN belleniminde meydana gelen bellek bozulması. (CVSS v3.1: 9.8)
Yukarıdakilerin yanı sıra Qualcomm, mühendisleri tarafından keşfedilen 13 yüksek önem dereceli kusuru ve diğer üç kritik önem taşıyan güvenlik açığını açıkladı.
CVE-2023-24855, CVE-2023-2854 ve CVE-2023-33028 kusurlarının tümü uzaktan istismar edilebilir olduğundan, güvenlik açısından kritik öneme sahiptirler ancak istismar edildiklerine dair hiçbir belirti yoktur.
Ne yazık ki, etkilenen tüketicilerin, mevcut güncellemeleri normal OEM kanalları aracılığıyla ulaşır ulaşmaz uygulamaktan başka yapabileceği pek bir şey yok.
Sürücülerdeki kusurlar, genellikle kötü amaçlı yazılım bulaşmasıyla elde edilen, istismar için genellikle yerel erişim gerektirir; bu nedenle, Android cihaz sahiplerinin indirdikleri uygulama sayısını sınırlamaları ve bunları yalnızca güvenilir depolardan almaları önerilir.
Dün Arm, aktif olarak istismar edilen bir kusur hakkında benzer bir güvenlik tavsiyesi uyarısı yayınladı (CVE-2023-4211, Google’ın Tehdit Analiz Grubu (TAG) ve Project Zero tarafından keşfedildi ve onlara bildirildi; bu, çok çeşitli Mali GPU sürücülerini etkiliyor).