Bilgisayar korsanları, yetkisiz erişim elde etmek, kötü amaçlı kod yürütmek veya potansiyel olarak veri bütünlüğünü ve sistemi tehlikeye atmak için Qualcomm'un güvenlik kusurlarından yararlanır.
Qualcomm'un popüler yonga setlerinde ve modemlerinde bulunan güvenlik açıkları, akıllı telefonlardan Nesnelerin İnterneti cihazlarına kadar çeşitli cihazlara sızmayı amaçlayan bilgisayar korsanları için arzu edilir bir durumdur.
Saldırganlar, bu tür güvenlik açıklarından yararlanarak birden fazla kötü niyetli eylem yoluyla güvenlik protokollerinden kaçabiliyor; bu da Qualcomm'un anında yanıt verdiğini gösteriyor.
Güvenlik Açıkları Tespit Edildi
Aşağıda, tespit edilen tüm güvenlik açıklarından bahsettik: –
- CVE Kimliği: CVE-2024-21473
- Başlık: WIN SON'da Uygunsuz Giriş Doğrulaması
- Açıklama: Günlük dosyası herhangi bir dosya adına sahip herhangi bir dosya konumuna yeniden yönlendirilirken bellek bozulması.
- CVSS Derecelendirmesi: Kritik
- CVSS Puanı: 9.8
- CVE Kimliği: CVE-2023-28547
- Başlık: SPS Uygulamalarında Giriş Boyutunu Kontrol Etmeden Tampon Kopyalama
- Açıklama: Sıralayıcı TA'da ortak anahtar istenirken SPS Uygulamasında bellek bozulması.
- CVSS Derecelendirmesi: Yüksek
- CVSS Puanı: 8.4
- CVE Kimliği: CVE-2023-33023
- Başlık: SPS Uygulamalarında Giriş Boyutunu Kontrol Etmeden Arabellek Kopyalama (“Klasik Arabellek Taşması”)
- Açıklama: Bir rsp arabelleğini geçirmek için Finish_sign komutunu işlerken bellek bozulması.
- CVSS Derecelendirmesi: Yüksek
- CVSS Puanı: 8.4
- CVE Kimliği: CVE-2023-33099
- Başlık: Çok Modlu Çağrı İşlemcisinde Uygunsuz Giriş Doğrulaması
- Açıklama: NR'de DL NAS aktarımında alınan standart olmayan boyuttaki SMS kapsayıcısını işlerken geçici DOS.
- CVSS Derecelendirmesi: Yüksek
- CVSS Puanı: 7.5
- CVE Kimliği: CVE-2023-33100
- Başlık: Çok Modlu Çağrı İşlemcisinde hatalı giriş doğrulaması
- Açıklama: 3GPP spesifikasyonunda mesaj kimliği tanımlanmadığında DL NAS Aktarım mesajını işlerken geçici DOS.
- CVSS Derecelendirmesi: Yüksek
- CVSS Puanı: 7.5
- CVE Kimliği: CVE-2023-33101
- Başlık: Çok Modlu Çağrı İşlemcisinde Yanlış Tür Dönüştürme veya Yayınlama
- Açıklama: Yük uzunluğu 0 olan DL NAS TRANSPORT mesajı işlenirken geçici DOS.
- CVSS Derecelendirmesi: Yüksek
- CVSS Puanı: 7.5
- CVE Kimliği: CVE-2023-33115
- Başlık: Güvenilir Yürütme Ortamında Arabelleğin Aşırı Okunması
- Açıklama: Belirli rapor türleri için güvenilir rapor oluşturulduğunda, arabellek başlatma işlemi sırasında bellek bozulması.
- CVSS Derecelendirmesi: Yüksek
- CVSS Puanı: 7.8
- CVE Kimliği: CVE-2024-21452
- Başlık: Otomotiv Telematiğinde Uygunsuz Giriş Doğrulaması
- Açıklama: Bilinmeyen uzantılardan oluşan bir DİZİ içeren bir ASN.1 OER mesajının kodu çözülürken geçici DOS.
- CVSS Derecelendirmesi: Yüksek
- CVSS Puanı: 7.3
- CVE Kimliği: CVE-2024-21453
- Başlık: Otomotiv Telematiğinde Uygunsuz Giriş Doğrulaması
- Açıklama: Kullanılabilir sistem belleğini aşan boyuttaki mesajın kodunu çözerken geçici DOS.
- CVSS Derecelendirmesi: Yüksek
- CVSS Puanı: 7.5
- CVE Kimliği: CVE-2024-21454
- Başlık: Otomotiv Telematiğinde Tam Sayı Taşması'ndan Tampon Taşmasına
- Açıklama: Otomotiv Telematiğinde ToBeSignedMessage'ın kodu çözülürken geçici DOS.
- CVSS Derecelendirmesi: Yüksek
- CVSS Puanı: 7.5
- CVE Kimliği: CVE-2024-21463
- Başlık: Ses Girişinin Boyutunu Kontrol Etmeden Arabellek Kopyalama
- Açıklama: v13k kod çözücü adım sentezi sırasında Codec2'yi işlerken bellek bozulması.
- CVSS Derecelendirmesi: Yüksek
- CVSS Puanı: 7.3
- CVE Kimliği: CVE-2024-21470
- Başlık: Grafik Windows'ta Tamsayı Taşması – Tampon Taşması
- Açıklama: Grafikler için bellek ayrılırken bellek bozulması.
- CVSS Derecelendirmesi: Yüksek
- CVSS Puanı: 8.4
Açık Kaynak Yazılım Açıkları
Aşağıda tüm açık kaynaklı yazılım güvenlik açıklarından bahsettik: –
- CVE Kimliği: CVE-2024-21468
- Başlık: Çekirdekte Serbest Sonra Kullan
- Açıklama: GPU'da eşlemeyi kaldırma işlemi başarısız olduğunda bellek bozulması.
- CVSS Derecelendirmesi: Yüksek
- CVSS Puanı: 8.4
- CVE Kimliği: CVE-2024-21472
- Başlık: Çekirdekte Serbest Sonra Kullan
- Açıklama: GPU işlemlerini gerçekleştirirken Çekirdekte bellek bozulması.
- CVSS Derecelendirmesi: Yüksek
- CVSS Puanı: 8.4
- CVE Kimliği: CVE-2023-33111
- Başlık: Seste Dizi Dizininin Uygunsuz Doğrulanması
- Açıklama: ADSP tarafından ayarlanan VI kalibrasyon durumu, AFE kalibrasyon komutuna verilen yanıt yükünde MAX_FBSP_STATE değerinden büyük olduğunda bilgilerin açığa çıkması.
- CVSS Derecelendirmesi: Orta
- CVSS Puanı: 5.5
- CVE Kimliği: CVE-2023-43515
- Başlık: HLOS'ta giriş boyutunu kontrol etmeden arabellek kopyalama (Klasik arabellek taşması)
- Açıklama: DEBUG_FS etkinken tmecom'da çekirdek adresi temizleyicileri (syzkaller) çalıştırılırken HLOS'ta bellek bozulması.
- CVSS Derecelendirmesi: Orta
- CVSS Puanı: 6.6
Android güvenlik bültenlerinin güvenlik açığı derecelendirmeleri genellikle tanıdık modellere dayanmaktadır ancak bazı platformlarda SELinux korumalarının atlandığı veya diğer uzmanların yerel hizmet reddi saldırıları veya çekirdek ayrıcalığı yükseltme güvenlik açıkları konusunda farklı anlayışa sahip olabileceği bazı durumların bir sonucu olarak farklılık gösterebilir. .
Bu zorluklar, çeşitli Android uygulamalarında güvenlik risklerinin nasıl değerlendirilebileceğini göstermektedir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.