Qualcomm, GPU ve Compute DSP Sürücülerinde Zero-Day Zafiyeti Hakkında Uyarılarda Bulundu
Amerikan yarıiletken şirketi, CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 ve CVE-2023-33063 zafiyeti hakkında bilgi verdi. Qualcomm, Adreno GPU ve Compute DSP sürücülerindeki zafiyetler için güncellemeler yayınladığını belirtti.
Qualcomm, aktif olarak kullanılan CVE-2023-33106, CVE-2022-22071 ve CVE-2023-33063 zafiyetleri için herhangi bir ayrıntı açıklamadı.
Açıklanan zafiyetler aşağıdaki gibidir
CVE-2023-24855: Memory corruption in Qualcomm’s Modem component occurring when processing security-related configurations before the AS Security Exchange. (CVSS v3.1: 9.8)
CVE-2023-28540: Cryptographic issue in the Data Modem component arising from improper authentication during the TLS handshake. (CVSS v3.1: 9.1)
CVE-2023-33028: Memory corruption in the WLAN firmware occurring while copying the pmk cache memory without performing size checks. (CVSS v3.1: 9.8)
Yukarıdaki güvenlik açıkları, uzaktan kullanılabilir nitelikte oldukları için güvenlik açısından kritik ancak bunların sömürüldüğüne dair herhangi bir işaret bulunmamaktadır.
Ne yazık ki, etkilenen tüketicilerin, uygun OEM kanalları aracılığıyla kendilerine ulaştığında mevcut güncellemeleri uygulamaktan başka yapabilecekleri bir çözüm şu an için bulunmamakta.
Sürücülerdeki hatalar genellikle kötü amaçlı yazılım enfeksiyonları aracılığıyla elde edilen yerel erişimi gerektirir, bu nedenle Android cihaz sahiplerine indirdikleri uygulama sayısını sınırlamaları ve bunları güvenilir depolardan temin etmeleri önerilir.
Dün, Arm, geniş bir Mali GPU sürücüsü yelpazesini etkileyen ve Google’ın Tehdit Analiz Grubu (TAG) ve Project Zero tarafından bildirilen ve aktif olarak kullanılan bir hatayla ilgili benzer bir güvenlik bildirimi yayınladı (CVE-2023-4211).
Kaynak: bleepingcomputer.com