Производитель чипов Qualcomm опубликовал дополнительную информацию о трех серьезных недостатках безопасности, которые, по его словам, попали под "ограниченное, целенаправленное использование" еще в октябре 2023 года.
К уязвимостям относятся следующие -
Сообщается, что об уязвимостях в системе безопасности сообщили исследователь безопасности по имени luckyrb, команда безопасности Google Android, а также исследователь тегов Бенуа Севенс и Янн Хорн из Google Project Zero соответственно.
В настоящее время неизвестно, как эти недостатки были использованы в качестве оружия и кто стоит за атаками.
Однако разработка побудила Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавить четыре ошибки в свой каталог известных эксплуатируемых уязвимостей (KEV), призвав федеральные агентства применить исправления к 26 декабря 2023 года.
Это также следует за объявлением Google о том, что обновления безопасности для Android от декабря 2023 года устраняют 85 недостатков, включая критическую проблему в системном компоненте, отслеживаемом как CVE-2023-40088, которая "может привести к удаленному (ближайшему / смежному) выполнению кода без необходимости дополнительных привилегий выполнения" и без какого-либо взаимодействия с пользователем.
К уязвимостям относятся следующие -
- CVE-2023-33063 (оценка CVSS: 7,8) - Повреждение памяти в службах DSP во время удаленного вызова из HLOS в DSP.
- CVE-2023-33106 (оценка CVSS: 8.4) - Повреждение памяти в графике при отправке большого списка точек синхронизации в вспомогательной команде IOCTL_KGSL_GPU_AUX_COMMAND.
- CVE-2023-33107 (оценка CVSS: 8.4) - Повреждение памяти в Graphics Linux при назначении общей области виртуальной памяти во время вызова IOCTL.
Сообщается, что об уязвимостях в системе безопасности сообщили исследователь безопасности по имени luckyrb, команда безопасности Google Android, а также исследователь тегов Бенуа Севенс и Янн Хорн из Google Project Zero соответственно.
В настоящее время неизвестно, как эти недостатки были использованы в качестве оружия и кто стоит за атаками.
Однако разработка побудила Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавить четыре ошибки в свой каталог известных эксплуатируемых уязвимостей (KEV), призвав федеральные агентства применить исправления к 26 декабря 2023 года.
Это также следует за объявлением Google о том, что обновления безопасности для Android от декабря 2023 года устраняют 85 недостатков, включая критическую проблему в системном компоненте, отслеживаемом как CVE-2023-40088, которая "может привести к удаленному (ближайшему / смежному) выполнению кода без необходимости дополнительных привилегий выполнения" и без какого-либо взаимодействия с пользователем.
