شرکت سازنده تراشه کوالکام اطلاعات بیشتری در مورد سه نقص امنیتی بحرانی منتشر کرده است که به گفته آنها در اکتبر سال 2023 تحت "نفوذ محدود و هدفمند" قرار گرفته است.
‌
آسیب‌پذیری‌ها به شرح زیر می‌باشند:
‌
• آسیب‌پذیری CVE-2023-33063 (امتیاز CVSS: 7.8)؛ اخلال و خرابی حافظه در سرویس‌های DSP در طول تماس از راه دور از HLOS به DSP.
‌
• آسیب‌پذیری CVE-2023-33106 (امتیاز CVSS: 8.4)؛ اخلال و خرابی حافظه در گرافیک هنگام ارسال لیست بزرگی از نقاط همگام‌سازی در یک کامند AUX به IOCTL_KGSL_GPU_AUX_COMMAND.
‌
• آسیب‌پذیری CVE-2023-33107 (امتیاز CVSS: 8.4)؛ اخلال و خرابی حافظه در Graphics Linux در حین اختصاص منطقه حافظه مجازی مشترک در طول تماس IOCTL.
‌
گروه تحلیل تهدیدات گوگل و گروه پروژه صفر گوگل در اکتبر 2023 فاش کردند که این سه نقص به همراه CVE-2022-22071 (امتیاز CVSS: 8.4)، در فضای سایبری به‌عنوان بخشی از حملات محدود و هدفمند مورد سواستفاده قرار‌گرفته‌اند.
‌
این گزارش توسط یک محقق امنیتی به نام luckyrb، از تیم Google Android Security، و محقق TAG بنویت سونز و جن هورن از Google Project Zero منتشر و افشا شد.
‌
در حال حاضر مشخص نیست که این آسیب‌پذیری‌ها چگونه مورد استفاده قرار گرفته‌اند و چه کسانی پشت این حملات هستند.
‌
با‌این‌حال، این تغییرات، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) را وادار کرد تا چهار باگ را به مجموعه آسیب‌پذیری‌های مورد سواستفاده شناخته شده (KEV) اضافه کند و از آژانس‌های فدرال بخواهد که پچ‌های منتشر شده را تا 26 دسامبر 2023 اعمال کنند.
‌
همچنین به‌دنبال اعلام گوگل مبنی بر اینکه بروزرسانی‌های امنیتی دسامبر 2023 برای اندروید به 85 نقص رسیدگی می‌کند، از‌جمله یک مشکل مهم در مولفه سیستم که به‌عنوان CVE-2023-40088 رد‌یابی می‌شود که "می‌تواند منجر به اجرای کد از راه دور (پرگزیمال/مجاور) بدون اختیارات اجرایی اضافی مورد نیاز و بدون هیچ‌گونه تعامل کاربر"، شود.