Zero-day zranitelnosti jsou na prvním místě seznamu bezpečnostních rizik, zejména proto, že společnosti často nevědí, že hackeři používají takové chyby. Nyní, v nedávném vývoji, Qualcomm objevil tři zero-day zranitelnosti ve svých ovladačích GPU a Compute DSP, které mohly být využity aktéry hrozeb při útocích.
Podle Threat Analysis Group (TAG) společnosti Google a Qualcomm objevili celkem 17 zranitelností, z nichž třináct bylo „vysoké“ riziko, které vykazovalo potenciál pro nízký nebo střední dopad na cílové systémy, zatímco jedna představovala „střední“ riziko. Qualcomm považoval zbývající tři zranitelnosti, CVE-2023-33106, CVE-2023-33107 a CVE-2022-22071, za kritické, představující riziko pro cílené zneužití. Přestože společnost nenašla důkazy o tom, že by zranitelnosti používali aktéři hrozeb, má podezření, že je hackeři mohli použít jako spyware.
Co tyto zranitelnosti ovlivňují?
I když se Qualcomm zdržel sdílení konkrétních podrobností o zranitelnostech, tyto zahrnují poškození paměti v komponentě Qualcomm Modem během zpracování konfigurací souvisejících se zabezpečením. Navíc poškozují paměť ve firmwaru WLAN a zneužívají kritický kryptografický problém v komponentě datového modemu během kopírování mezipaměti pmk bez řádné kontroly velikosti.
Odpověď Qualcommu
V reakci na zranitelnosti společnost Qualcomm vydala aktualizace zabezpečení a upozornila výrobce telefonů, jako je Samsung, a vyzvala je, aby tyto aktualizace nasadili co nejdříve. Kromě toho společnost uvedla, že plánuje poskytnout více informací o chybách v prosincové zprávě.
V dalších zprávách ARM včera také objevil nové zranitelnosti GPU, které umožňují aktérům hrozeb získat přístup k paměti uživatele a použít ji k instalaci malwaru nebo jiných škodlivých dat.
Tyto incidenty znovu zdůrazňují rostoucí význam zavádění přísných bezpečnostních opatření. To zahrnuje rychlou aktualizaci vašeho telefonu na nejnovější bezpečnostní záplaty, sledování aplikací, které příliš nevyužívají baterii, a pečlivou kontrolu všech oprávnění, která aplikace požaduje.
Zdroj: androidheadlines.com
