Qualcommتراشه ساز Qualcomm به‌روزرسانی‌های امنیتی را برای رفع ۱۷ آسیب‌پذیری در مؤلفه‌های مختلف منتشر کرده است، در حالی که هشدار داده است که سه نقص روز صفر دیگر نیز تحت بهره‌برداری فعال قرار گرفته‌اند.

از این ۱۷ نقص، ۳ نقص به عنوان بحرانی، ۱۳ نقص دارای رتبه بالا و یک مورد دارای رتبه‌بندی متوسط از نظر شدت هستند.

این شرکت تراشه ساز در گزارشی گفت[۱]: «از گروه تحلیل تهدید گوگل و Google Project Zero نشانه‌هایی وجود دارد مبنی بر اینکه CVE-2023-33106، CVE-2023-33107، CVE-2022-22071، و CVE-2023-33063 ممکن است تحت بهره‌برداری هدفمند و محدود شرکتی باشند.»

وصله‌هایی برای مشکلاتی که درایورهای Adreno GPU و Compute DSP را تحت‌تأثیر قرار می‌دهند در دسترس قرار گرفته‌اند، و OEM ‌ها با توصیه قوی برای استقرار این به‌روزرسانی‌های امنیتی دراسرع‌وقت مطلع شده‌اند.

CVE-2022-22071 (امتیاز ۴/۸ در مقیاس CVSS)، که به عنوان یک ابزار بدون استفاده در سیستم عامل Automotive OS توصیف می‌شود، در ابتدا توسط این شرکت به عنوان بخشی از به‌روزرسانی‌های می ۲۰۲۲ اصلاح شد.

درحالی‌که انتظار می‌رود اطلاعات اضافی درباره سایر نقص‌های باقی‌مانده در دسامبر ۲۰۲۳ عمومی شود، این افشاگری در همان روزی منتشر می‌شود که Arm وصله‌های مربوط به یک نقص امنیتی در درایور هسته GPU Mali (CVE-2023-4211) را ارسال کرد[۲] که همچنین تحت بهره برداری هدفمند قرار داشت.

به‌روزرسانی‌های اکتبر ۲۰۲۳ کوالکام همچنین به سه مسئله مهم می‌پردازند، اگرچه هیچ مدرکی دال بر سوء استفاده از آنها در سطح اینترنت وجود ندارد.

  • CVE-2023-24855 (امتیاز ۸/۹ در مقیاس CVSS) – خرابی حافظه در مودم هنگام پردازش تنظیمات مربوط به امنیت قبل از AS Security Exchange
  • CVE-2023-28540 (امتیاز ۱/۹ در مقیاس CVSS) – مشکل رمزنگاری در مودم داده به دلیل احراز هویت نامناسب در هنگام دست دادن TLS
  • CVE-2023-33028 (امتیاز ۸/۹ در مقیاس CVSS) – خرابی حافظه در میان‌افزار WLAN هنگام کپی کردن حافظه از حافظه پنهان pmk

به کاربران توصیه می‌شود به‌محض در دسترس قرارگرفتن، به‌روزرسانی‌های تولیدکنندگان تجهیزات اصلی (OEM) را اعمال کنند.

 

منابع

[۱] https://docs.qualcomm.com/product/publicresources/securitybulletin/october-2023-bulletin.html

[۲] https://thehackernews.com/2023/10/arm-issues-patch-for-mali-gpu-kernel.html

[۳] https://thehackernews.com/2023/10/qualcomm-releases-patch-for-3-new-zero.html