کوالکام جزئیات آسیب‌پذیری تراشه‌های خود که تحت حمله و سواستفاده هستند را منتشر کرد

شرکت اندیشه پردازان سپاهان

اخبار

کوالکام جزئیات آسیب‌پذیری تراشه‌های خود که تحت حمله و سواستفاده هستند را منتشر کرد

کوالکام جزئیات آسیب‌پذیری تراشه‌های خود که تحت حمله و سواستفاده هستند را منتشر کرد

شرکت سازنده تراشه کوالکام اطلاعات بیشتری در مورد سه نقص امنیتی بحرانی منتشر کرده است که به گفته آنها در اکتبر سال 2023 تحت "نفوذ محدود و هدفمند" قرار گرفته است.

آسیب‌پذیری‌ها به شرح زیر می‌باشند:

• آسیب‌پذیری CVE-2023-33063 (امتیاز CVSS: 7.8)؛ اخلال و خرابی حافظه در سرویس‌های DSP در طول تماس از راه دور از HLOS به DSP.

• آسیب‌پذیری CVE-2023-33106 (امتیاز CVSS: 8.4)؛ اخلال و خرابی حافظه در گرافیک هنگام ارسال لیست بزرگی از نقاط همگام‌سازی در یک کامند AUX به IOCTL_KGSL_GPU_AUX_COMMAND.

• آسیب‌پذیری CVE-2023-33107 (امتیاز CVSS: 8.4)؛ اخلال و خرابی حافظه در Graphics Linux در حین اختصاص منطقه حافظه مجازی مشترک در طول تماس IOCTL.

گروه تحلیل تهدیدات گوگل و گروه پروژه صفر گوگل در اکتبر 2023 فاش کردند که این سه نقص به همراه CVE-2022-22071 (امتیاز CVSS: 8.4)، در فضای سایبری به‌عنوان بخشی از حملات محدود و هدفمند مورد سواستفاده قرار‌گرفته‌اند.

این گزارش توسط یک محقق امنیتی به نام luckyrb، از تیم Google Android Security، و محقق TAG بنویت سونز و جن هورن از Google Project Zero منتشر و افشا شد.

در حال حاضر مشخص نیست که این آسیب‌پذیری‌ها چگونه مورد استفاده قرار گرفته‌اند و چه کسانی پشت این حملات هستند.

با‌این‌حال، این تغییرات، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) را وادار کرد تا چهار باگ را به مجموعه آسیب‌پذیری‌های مورد سواستفاده شناخته شده (KEV) اضافه کند و از آژانس‌های فدرال بخواهد که پچ‌های منتشر شده را تا 26 دسامبر 2023 اعمال کنند.

همچنین به‌دنبال اعلام گوگل مبنی بر اینکه بروزرسانی‌های امنیتی دسامبر 2023 برای اندروید به 85 نقص رسیدگی می‌کند، از‌جمله یک مشکل مهم در مولفه سیستم که به‌عنوان CVE-2023-40088 رد‌یابی می‌شود که "می‌تواند منجر به اجرای کد از راه دور (پرگزیمال/مجاور) بدون اختیارات اجرایی اضافی مورد نیاز و بدون هیچ‌گونه تعامل کاربر"، شود.

 

 

 

 

 

 

 

 

 

 

 

 



نظرات کاربران
ارسال نظر