f32b89807f3f00b8ad2246eaf05cb1c6.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

高通修复了位于 Digital Signal Processor (DSP) 服务中的一个高危 0day 漏洞 (CVE-2024-43047),它影响数十个芯片集。

fcc9d974f3e7eb640d17acb8c23ac5c7.png

该漏洞由谷歌 Project Zero 团队的研究员 Seth Jenkins 和 Amnesty International Security Lab 公司的研究员 Conghui Wang 报送,是由一个释放后使用弱点引发的,如遭具有低权限的本地攻击者成功利用,可导致内存损坏。正如在一条 DSP 内核提交中解释的那样,“目前,DSP通过未使用的 DMA 句柄fds 更新了头缓冲区。在 put_args 不分,如果头缓冲区中出现了 DMA 句柄 FDs,则相应的映射会被释放。然而,由于该头缓冲区被暴露到未签名的 PD,用户可更新不合法的 FDs。如果该不合法的 FD 匹配已在使用状态中的任何 FD,就可导致释放后使用漏洞。”

高通在本周一发布的安全公告中提醒称,该漏洞已被谷歌威胁分析团队和Amnesty International Security Lab标记为在野遭利用状态,而这两家机构均以发现被用于高价值个体移动设备遭间谍软件攻击中的0day而出名。高通提醒称,“谷歌威胁分析团队提到CVE-2024-43047可能遭范围有限的针对性利用攻击。影响 FASTRPC 驱动的漏洞补丁已发给OEM,并强烈建议他们尽快在受影响设备上部署更新。”

高通也督促用户联系设备制造商,获取关于特定设备补丁状态的更多详情。

此外,高通刚还修复了另外一个接近满分的位于WLAN资源管理器中的漏洞 (CVE-2024-33066)。该漏洞是在一年多前报送的,由可导致内存损坏的一个输入验证不当弱点引发。去年10月份,高通还提醒称,攻击者正在利用其 GPU 和 Compute DSP 驱动中的三个 0day 漏洞。谷歌威胁分析团队和 Project Zero 团队发布报告称,漏洞被用于范围有限的针对性利用活动中。谷歌和高通尚未发布更多详情。

近年来,高通还修复了多个芯片级漏洞,它们可导致攻击者访问用户的媒体文件、文本消息、通话历史和实时会话。

高通还修复了位于 Snapdragon Digital Signal Processor (DSP) 芯片中的多个漏洞,它们可导致黑客在无需用户交互的情况下控制智能手机,监控用户并创建可躲避检测的不可删除的恶意软件。高通在2020年修复的漏洞 KrØØk 可导致攻击者解密一些通过 WPA2 加密的无线网络,而另外一个现已修复的漏洞可导致攻击者访问重要数据。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

全球约30%的智能手机受高通新漏洞影响,打补丁状况不明

近一半的智能手机受高通 Snapdragon 漏洞影响

重大漏洞导致高通 QSEE 组件瘫痪,所有安卓和 IoT 设备可遭完全控制

博通高通收购尚未达成 美国政府国安调查先行但意在中国?

高通移动芯片存在漏洞,安卓手机位置服务受影响

原文链接

https://www.bleepingcomputer.com/news/security/qualcomm-patches-high-severity-zero-day-exploited-in-attacks/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

e202623e3a77cf6e0550471adcc3b1c7.jpeg

4f996afe772595e16d6ac84187aca95c.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   b5681c558282b8db0dba0dc14cdcc112.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

Logo

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐