A Qualcomm está enfrentando dezenas de vulnerabilidades de software Snapdragon, que afetam os dispositivos da Microsoft, Lenovo e Samsung. O boletim de segurança de janeiro de 2023 da Qualcomm abordou 22 vulnerabilidades de software em seu conjunto Snapdragon.
Algumas das falhas foram relatadas pela equipe efiXplorer na empresa de proteção de firmware Binarly, Zinuo Han do OPPO Amber Security Lab, Gengjia Chen do IceSword Lab, os pesquisadores nicolas (nicolas1993), Seonung Jang da STEALIEN e Le Wu da Baidu Security.
Abaixo estão relatadas as vulnerabilidades mais graves abordadas pela empresa (Tabela: Security Affairs):
| IDENTIFICAÇÃO PÚBLICA | CLASSIFICAÇÃO DE SEGURANÇA | CLASSIFICAÇÃO CVSS | ÁREA DE TECNOLOGIA | DATA RELATADA |
|---|---|---|---|---|
| CVE-2022-33218 | Crítico | Alto | Automotivo | interno |
| CVE-2022-33219 | Crítico | Crítico | Automotivo | interno |
| CVE-2022-33265 | Crítico | Alto | Firmware de comunicação Powerline | interno |
| CVE-2022-25725 | Alto | Médio | ÚTIL | interno |
| CVE-2022-25746 | Alto | Alto | NÚCLEO | interno |
| CVE-2022-33252 | Alto | Alto | WLAN Firmware | interno |
| CVE-2022-33253 | Alto | Alto | WLAN Firmware | interno |
| CVE-2022-33266 | Alto | Médio | áudio | interno |
| CVE-2022-33274 | Alto | Alto | Núcleo do Android | interno |
| CVE-2022-33276 | Alto | Alto | WLAN Firmware | interno |
| CVE-2022-33283 | Alto | Alto | WLAN Firmware | interno |
| CVE-2022-33284 | Alto | Alto | WLAN Firmware | interno |
| CVE-2022-33285 | Alto | Alto | WLAN Firmware | interno |
| CVE-2022-33286 | Alto | Alto | WLAN Firmware | interno |
| CVE-2022-33290 | Alto | Alto | Conectividade automotiva | interno |
| CVE-2022-33299 | Alto | Alto | Conectividade automotiva | interno |
| CVE-2022-33300 | Alto | Alto | Sistema operacional Android automotivo | interno |
| CVE-2022-40516 | Alto | Alto | Bota | 28/10/2022 |
| CVE-2022-40517 | Alto | Alto | Bota | 28/10/2022 |
| CVE-2022-40520 | Alto | Alto | Conectividade | 28/10/2022 |
A falha mais grave é um estouro de número inteiro para estouro de buffer no Automotive rastreado como CVE-2022-33219 (CVSS Score 9.3). De acordo com o comunicado, a “corrupção de memória no Automotive devido ao estouro de número inteiro para estouro de buffer ao registrar um novo ouvinte com buffer compartilhado.
Outros dois problemas graves corrigidos pela Qualcomm são: CVE-2022-33218 (CVSS Score 8.2) – a falha é uma corrupção de memória no Automotivo devido à validação de entrada imprópria; CVE-2022-33265 (CVSS Score 7.3) – a falha é uma exposição de informações no firmware de comunicação Powerline; As falhas afetaram laptops e outros dispositivos usando chipsets Snapdragon fabricados pela Lenovo, Microsoft e Samsung.
A Lenovo lançou atualizações para solucionar as vulnerabilidades que afetam o BIOS do ThinkPad X13s. Assim, os dispositivos estão livres dessas vulnerabilidades, desde que atualizados, claro.
Esperamos que novas vulnerabilidades não surjam nas próximas semanas e a Qualcomm tenha se livrado de tantas vulnerabilidades de uma vez por todas, assim como as empresas com os chips Snapdragon. De qualquer forma, é bom ficar ligado nas atualizações que possam surgir nas próximas semanas.