Qualcomm, Adreno GPU ve Compute DSP sürücülerinde aktif olarak yararlanılan üç güvenlik açığını (CVE-2023-33106, CVE-2023-33107, CVE-2023-33063) düzeltti.
Qualcomm GPU ve DSP sürücülerinde yararlanılan güvenlik açıkları
ABD merkezli yarı iletken şirketine, Google Tehdit Analiz Grubu ve Google Project Zero tarafından CVE-2023-33106, CVE-2023-33107, CVE-2023-33063 ve CVE-2022-22071’in “sınırlı, hedeflenmiş olabileceği” bildirildi. sömürü”.
CVE-2022-22071, Automotive Android OS’de bulunan ve Mayıs 2022’de yamalanan eski bir ücretsiz kullanım sonrası güvenlik açığıdır.
Üç sıfır güne ilişkin ek bilgiler Aralık ayı güvenlik bülteninde paylaşılacak ancak şirket bunlar için yamalar yayınladı. Şirket, “OEM’lere, güvenlik güncellemelerini mümkün olan en kısa sürede dağıtmaları yönünde güçlü bir öneriyle bilgi verildi” dedi.
Benzer/ilgili haberlerde Arm, hedefli saldırılarda kullanılan çeşitli Mali GPU’lar için çekirdek sürücülerinde bir sıfır gün güvenlik açığı (CVE-2023-4211) yamasını düzeltti; bu, Google TAG ve Project Zero araştırmacıları tarafından da tespit edildi.
Ek sorunlar
Bu ayın güvenlik bülteninde Qualcomm, üçü kritik olarak değerlendirilen on yedi güvenlik açığını daha açıkladı:
- CVE-2023-24855 – AS Security Exchange’den önce güvenlikle ilgili yapılandırmayı işlerken Modem’de bellek bozulması.
- CVE-2023-28540 – TLS anlaşması sırasında hatalı kimlik doğrulama nedeniyle Veri Modeminde bir şifreleme sorunu.
- CVE-2023-33028 – PMk önbelleğinin bellek kopyasını yaparken WLAN Firmware’inde bellek bozulması.
Bu ek güvenlik açıklarının yaygın olarak istismar edildiğine dair hiçbir belirti yoktur.