Qualcomm alerta sobre três vulnerabilidades de zero dia em seus drivers GPU e Compute DSP

Imagem com logomarca da Qualcomm

A Qualcomm está alertando sobre três vulnerabilidades de dia zero em seus drivers GPU e Compute DSP. Segundo a empresa, os hackers estão utilizando essas falhas ativamente em ataques. A empresa americana de semicondutores foi informada pelo Threat Analysis Group (TAG) do Google e pelas equipes do Project Zero que CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 e CVE-2023-33063 podem estar sob exploração limitada e direcionada.

Qualcomm e as vulnerabilidades de zero dia em seus drivers

A Qualcomm afirma que lançou atualizações de segurança que abordam os problemas em seus drivers Adreno GPU e Compute DSP, e os OEMs afetados também foram notificados.

Patches para os problemas que afetam os drivers Adreno GPU e Compute DSP foram disponibilizados, e os OEMs foram notificados com uma forte recomendação para implantar atualizações de segurança o mais rápido possível.

A falha CVE-2022-22071 foi divulgada em maio de 2022 e é um uso explorável localmente de alta gravidade (CVSS v3.1: 8.4) após bug gratuito impactando chips populares como SD855, SD865 5G e SD888
5G. A Qualcomm não divulgou nenhum detalhe sobre as falhas CVE-2023-33106, CVE-2022-22071 e CVE-2023-33063 exploradas ativamente e fornecerá mais informações em seu boletim de dezembro de 2023.

qualcomm-alerta-sobre-tres-vulnerabilidades-de-zero-dia-em-seus-drivers-gpu-e-compute-dsp

Mais vulnerabilidades divulgadas

O boletim de segurança deste mês também alerta sobre três outras vulnerabilidades críticas:

  • CVE-2023-24855: Corrupção de memória no componente Modem da Qualcomm que ocorre durante o processamento de configurações relacionadas à segurança antes do AS Security Exchange. (CVSS v3.1: 9.8).
  • CVE-2023-28540: Problema criptográfico no componente Data Modem decorrente de autenticação inadequada durante o handshake TLS. (CVSS v3.1: 9.1).
  • CVE-2023-33028: Corrupção de memória no firmware WLAN ocorrendo ao copiar a memória cache pmk sem realizar verificações de tamanho. (CVSS v3.1: 9.8).

A Qualcomm divulgou 13 falhas de alta gravidade e outras três vulnerabilidades de gravidade crítica descobertas por seus engenheiros. Como as falhas CVE-2023-24855, CVE-2023-2854 e CVE-2023-33028 são todas exploráveis remotamente, elas são críticas do ponto de vista de segurança, mas não há indicação de que sejam exploradas.

Infelizmente, não há muito que os consumidores afetados possam fazer além de aplicar as atualizações disponíveis assim que elas chegarem até eles através dos canais OEM habituais. As falhas nos drivers geralmente exigem acesso local para serem exploradas, normalmente obtidas por meio de infecções por malware, portanto, recomenda-se que os proprietários de dispositivos Android limitem o número de aplicativos que baixam e os obtenham apenas de repositórios confiáveis.

Atualize os drivers vulneráveis agora mesmo para se livrar de qualquer problema.

Via: Bleeping Computer