شرکت سازنده تراشه کوالکام اطلاعات بیشتری در مورد سه نقص امنیتی بحرانی منتشر کرده است که به گفته آنها در اکتبر سال 2023 تحت "نفوذ محدود و هدفمند" قرار گرفته است.
آسیبپذیریها به شرح زیر میباشند:
• آسیبپذیری CVE-2023-33063 (امتیاز CVSS: 7.8)؛ اخلال و خرابی حافظه در سرویسهای DSP در طول تماس از راه دور از HLOS به DSP.
• آسیبپذیری CVE-2023-33106 (امتیاز CVSS: 8.4)؛ اخلال و خرابی حافظه در گرافیک هنگام ارسال لیست بزرگی از نقاط همگامسازی در یک کامند AUX به IOCTL_KGSL_GPU_AUX_COMMAND.
• آسیبپذیری CVE-2023-33107 (امتیاز CVSS: 8.4)؛ اخلال و خرابی حافظه در Graphics Linux در حین اختصاص منطقه حافظه مجازی مشترک در طول تماس IOCTL.
گروه تحلیل تهدیدات گوگل و گروه پروژه صفر گوگل در اکتبر 2023 فاش کردند که این سه نقص به همراه CVE-2022-22071 (امتیاز CVSS: 8.4)، در فضای سایبری بهعنوان بخشی از حملات محدود و هدفمند مورد سواستفاده قرارگرفتهاند.
این گزارش توسط یک محقق امنیتی به نام luckyrb، از تیم Google Android Security، و محقق TAG بنویت سونز و جن هورن از Google Project Zero منتشر و افشا شد.
در حال حاضر مشخص نیست که این آسیبپذیریها چگونه مورد استفاده قرار گرفتهاند و چه کسانی پشت این حملات هستند.
بااینحال، این تغییرات، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) را وادار کرد تا چهار باگ را به مجموعه آسیبپذیریهای مورد سواستفاده شناخته شده (KEV) اضافه کند و از آژانسهای فدرال بخواهد که پچهای منتشر شده را تا 26 دسامبر 2023 اعمال کنند.
همچنین بهدنبال اعلام گوگل مبنی بر اینکه بروزرسانیهای امنیتی دسامبر 2023 برای اندروید به 85 نقص رسیدگی میکند، ازجمله یک مشکل مهم در مولفه سیستم که بهعنوان CVE-2023-40088 ردیابی میشود که "میتواند منجر به اجرای کد از راه دور (پرگزیمال/مجاور) بدون اختیارات اجرایی اضافی مورد نیاز و بدون هیچگونه تعامل کاربر"، شود.