(https://i.postimg.cc/rybWfWq6/Qualcomm.jpg) (https://postimages.org/)
Qualcomm advierte sobre tres vulnerabilidades de día cero en sus controladores GPU y Compute DSP que los piratas informáticos están explotando activamente en sus ataques.
El Grupo de Análisis de Amenazas (TAG) de Google y los equipos del Proyecto Cero le dijeron a la compañía estadounidense de semiconductores que CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 y CVE-2023-33063 pueden estar bajo explotación limitada y dirigida.
Qualcomm dice que ha lanzado actualizaciones de seguridad que solucionan los problemas en sus controladores Adreno GPU y Compute DSP, y también se notificó a los OEM afectados.
"Se han puesto a disposición parches para los problemas que afectan a los controladores Adreno GPU y Compute DSP, y se ha notificado a los OEM con una fuerte recomendación de implementar actualizaciones de seguridad lo antes posible" – Qualcomm.
La falla CVE-2022-22071 se reveló en mayo de 2022 y es un uso explotable localmente de alta gravedad (CVSS v3.1: 8.4) después de un error gratuito que afecta a chips populares como SD855, SD865 5G y SD888.
5G
Qualcomm no ha publicado ningún detalle sobre las fallas CVE-2023-33106, CVE-2022-22071 y CVE-2023-33063 explotadas activamente y proporcionará más información en su boletín de diciembre de 2023.
El boletín de seguridad de este mes también advierte sobre otras tres vulnerabilidades críticas:
CVE-2023-24855: Se produce corrupción de memoria en el componente del módem de Qualcomm al procesar configuraciones relacionadas con la seguridad ante AS Security Exchange. (CVSS v3.1: 9.8 )
CVE-2023-28540: Problema criptográfico en el componente del módem de datos que surge de una autenticación incorrecta durante el protocolo de enlace TLS. (CVSS v3.1: 9.1 )
CVE-2023-33028: Se produce corrupción de memoria en el firmware de WLAN al copiar la memoria caché pmk sin realizar comprobaciones de tamaño. (CVSS v3.1: 9.8 )
Junto a lo anterior, Qualcomm ha revelado 13 fallos de alta gravedad y otras tres vulnerabilidades de gravedad crítica descubiertas por sus ingenieros.
Como las fallas CVE-2023-24855, CVE-2023-2854 y CVE-2023-33028 son todas explotables de forma remota, son críticas desde el punto de vista de la seguridad, pero no hay indicios de que sean explotadas.
Desafortunadamente, no hay mucho que los consumidores afectados puedan hacer además de aplicar las actualizaciones disponibles tan pronto como les lleguen a través de los canales OEM habituales.
Las fallas en los controladores generalmente requieren acceso local para explotarlas, generalmente logradas a través de infecciones de malware, por lo que se recomienda a los propietarios de dispositivos Android que limiten la cantidad de aplicaciones que descargan y que solo las obtengan de repositorios confiables.
Ayer, Arm emitió una advertencia de seguridad similar sobre una falla explotada activamente (CVE-2023-4211 descubierta y reportada por el Grupo de Análisis de Amenazas (TAG) de Google y Project Zero, que afecta a una amplia gama de controladores de GPU de Mali.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/qualcomm-says-hackers-exploit-3-zero-days-in-its-gpu-dsp-drivers/