Qualcomm, tescilli ve açık kaynaklı bileşenlere yayılan yaklaşık iki düzine kusuru gidermek için güvenlik güncellemeleri yayınladı; bunların arasında aktif olarak istismar edilenler de var.
CVE-2024-43047 (CVSS puanı: 7,8) olarak takip edilen yüksek önemdeki güvenlik açığı, Dijital Sinyal İşlemcisi (DSP) Hizmetinde “belleği korurken bellek bozulmasına” yol açabilecek, kullanıcı tarafından serbest bırakılan bir hata olarak tanımlandı. HLOS belleğinin haritaları.”
Qualcomm, kusuru bildirdikleri için Google Project Zero araştırmacısı Seth Jenkins-Google Project Zero ve Conghui Wang’a ve vahşi aktiviteyi doğruladığı için Uluslararası Af Örgütü Güvenlik Laboratuvarı’na itibar etti.
Çip üreticisi bir danışma belgesinde, “Google Tehdit Analiz Grubu’ndan CVE-2024-43047’nin sınırlı, hedefli bir şekilde istismar edilebileceğine dair göstergeler var” dedi.
“FASTRPC sürücüsünü etkileyen soruna yönelik yamalar, güncellemenin etkilenen cihazlara mümkün olan en kısa sürede dağıtılması yönünde güçlü bir öneriyle birlikte OEM’lerin kullanımına sunuldu.”
Saldırıların tam kapsamı ve etkileri şu anda bilinmiyor; ancak sivil toplum üyelerini hedef alan casus yazılım saldırılarının bir parçası olarak silah haline getirilmiş olması mümkün.
Ekim ayı yaması aynı zamanda WLAN Kaynak Yöneticisinde hatalı giriş doğrulamasından kaynaklanan ve bellek bozulmasına neden olabilecek kritik bir kusuru da (CVE-2024-33066, CVSS puanı: 9,8) ele alıyor.
Bu gelişme, Google’ın, Imagination Technologies, MediaTek ve Qualcomm bileşenlerinde tanımlanan sorunları da içeren 28 güvenlik açığına yönelik düzeltmeleri içeren kendi aylık Android güvenlik bültenini yayınlamasıyla gerçekleşti.