Chipmaker Qualcomm, Ekim 2023’te “sınırlı, hedefli istismar” kapsamına girdiğini söylediği üç yüksek önem dereceli güvenlik açığı hakkında daha fazla bilgi yayınladı.
Güvenlik açıkları aşağıdaki gibidir:
- CVE-2023-33063 (CVSS puanı: 7,8) – HLOS’tan DSP’ye uzaktan arama sırasında DSP Hizmetlerinde bellek bozulması.
- CVE-2023-33106 (CVSS puanı: 8.4) – IOCTL_KGSL_GPU_AUX_COMMAND’a bir AUX komutundaki senkronizasyon noktalarının geniş bir listesini gönderirken Grafiklerde bellek bozulması.
- CVE-2023-33107 (CVSS puanı: 8.4) – IOCTL çağrısı sırasında paylaşılan sanal bellek bölgesi atanırken Graphics Linux’ta bellek bozulması.
Google’ın Tehdit Analizi Grubu ve Google Project Zero, Ekim 2023’te CVE-2022-22071 (CVSS puanı: 8,4) ile birlikte üç kusurun sınırlı, hedefli saldırıların bir parçası olarak vahşi ortamda kullanıldığını ortaya çıkardı.
Luckyrb adlı bir güvenlik araştırmacısı, Google Android Güvenlik ekibi ve TAG araştırmacısı Benoît Sevens ve Google Project Zero’dan Jann Horn, sırasıyla güvenlik açıklarını bildirdikleri için itibar kazandılar.
Bu eksikliklerin nasıl silah haline getirildiği ve saldırıların arkasında kimin olduğu henüz bilinmiyor.
Ancak bu gelişme, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) dört hatayı Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna eklemesine yol açtı ve federal kurumları 26 Aralık 2023’e kadar yamaları uygulamaya çağırdı.
Bu aynı zamanda Google’ın Aralık 2023’te Android’e yönelik güvenlik güncellemelerinin CVE-2023-40088 olarak takip edilen Sistem bileşenindeki “ek yürütme ayrıcalıkları olmadan uzaktan (yakın/bitişik) kod yürütülmesine yol açabilecek” kritik bir sorun da dahil olmak üzere 85 kusurunu ele aldığını duyurmasının ardından geldi. gerekli” ve herhangi bir kullanıcı etkileşimi olmadan.