高通芯片组和联想BIOS获得安全更新以修复多个缺陷

高通公司周二发布了补丁，以解决其芯片组中的多个安全漏洞，其中一些漏洞可能被用来导致信息泄露和内存损坏。

从CVE-2022-40516到CVE-2022-40520跟踪的五个漏洞也影响了联想ThinkPad X13s笔记本电脑，促使这家中国PC制造商发布BIOS更新以填补安全漏洞。

缺陷列表如下 -

• CVE-2022-40516、CVE-2022-40517 和 CVE-2022-40520（CVSS 分数：8.4） - 由于基于堆栈的缓冲区溢出，Core 中的内存损坏

• CVE-2022-40518 & CVE-2022-40519（CVSS 分数：6.8） - 由于核心缓冲区过度读取而导致信息泄露

基于堆栈的缓冲区溢出漏洞可能导致严重影响，例如数据损坏、系统崩溃和任意代码执行。另一方面，缓冲区过度读取可以被武器化以读取越界内存，从而导致秘密数据的暴露。

联想在周二发布的警报中指出，成功利用上述漏洞可能允许具有提升权限的本地对手造成内存损坏或泄露敏感信息。

联想还修复了ThinkPad X13 BIOS中的另外四个缓冲区过度读取漏洞，这些漏洞可能导致信息泄露。这些漏洞被跟踪为 CVE-2022-4432、CVE-2022-4433、CVE-2022-4434 和 CVE-2022-4435。建议ThinkPad X13用户将BIOS更新到版本1.47（N3HET75W）或更高版本。固件安全公司Binarly因发现并报告九个缺点而受到赞誉。

高通公司 2023 年 1 月的安全公告进一步清除了其他 17 个漏洞，包括由于缓冲区溢出缺陷而导致的汽车组件中的一个严重内存损坏错误（CVE-2022-33219，CVSS 分数：9.3）。

原文始发于微信公众号（黑猫安全）：高通芯片组和联想BIOS获得安全更新以修复多个缺陷