Qualcomm Salı günü, yonga setlerinde bazıları bilgi ifşasına ve bellek bozulmasına neden olmak için kullanılabilecek birden fazla güvenlik açığını gidermek için yamalar yayınladı.
CVE-2022-40516’dan CVE-2022-40520’ye kadar izlenen beş güvenlik açığı, Lenovo ThinkPad X13s dizüstü bilgisayarlarını da etkileyerek Çinli PC üreticisinin güvenlik açıklarını kapatmak için BIOS güncellemeleri yayınlamasına neden oluyor.
Kusurların listesi aşağıdaki gibidir –
- CVE-2022-40516, CVE-2022-40517 ve CVE-2022-40520 (CVSS puanları: 8.4) – Yığın tabanlı arabellek taşması nedeniyle Çekirdekte bellek bozulması
- CVE-2022-40518 ve CVE-2022-40519 (CVSS puanları: 6.8) – Çekirdekte arabelleğin aşırı okunması nedeniyle bilgilerin açığa çıkması
Yığın tabanlı arabellek taşması güvenlik açıkları, veri bozulması, sistem çökmeleri ve rastgele kod yürütme gibi ciddi etkilere neden olabilir. Öte yandan arabellek aşırı okumaları, sınır dışı belleği okumak için silah haline getirilebilir ve bu da gizli verilerin açığa çıkmasına neden olur.
Lenovo, Salı günü yayınlanan bir uyarıda, yukarıda belirtilen kusurların başarılı bir şekilde kullanılmasının, yükseltilmiş ayrıcalıklara sahip yerel bir düşmanın bellek bozulmasına veya hassas bilgilerin sızmasına neden olmasına izin verebileceğini belirtti.
Ayrıca Lenovo tarafından düzeltilen, ThinkPad X13 BIOS’ta bilgilerin açığa çıkmasına neden olabilecek dört fazla arabellek aşırı okuma güvenlik açığı vardır. Kusurlar CVE-2022-4432, CVE-2022-4433, CVE-2022-4434 ve CVE-2022-4435 olarak izlenir.
ThinkPad X13 kullanıcılarının BIOS’u 1.47 (N3HET75W) veya daha yeni bir sürüme güncellemesi önerilir. Üretici yazılımı güvenlik firması Binarly, dokuz eksikliği keşfedip rapor etmekle tanınır.
Qualcomm’un Ocak 2023 güvenlik bülteni, arabellek taşması kusurunun bir sonucu olarak ortaya çıkan Otomotiv bileşeninde (CVE-2022-33219, CVSS puanı: 9.3) kritik bir bellek bozulması hatası da dahil olmak üzere 17 diğer güvenlik açığını daha da kapatır.