高通发布紧急安全更新，解决17个漏洞，3个零日漏洞仍在威胁中

      17个漏洞中有3个的严重程度被评为“严重”，13个被评为“高”，1个被评为“中等”。

      该公司还警告称，另外三个零日漏洞在野外攻击中被积极利用。谷歌威胁分析小组和谷歌Project Zero首先报告称，CVE-2023-33106、CVE-2023-3 3107、CVE-202—22071和CVE-2023—33063在有针对性的攻击中被积极利用。

      该公司计划在未来几个月内披露被积极利用的漏洞的技术细节。

      谷歌威胁分析小组和谷歌Project Zero专家专注于民族国家行为者或监控公司实施的攻击，这意味着这些威胁行为者之一可能是利用高通缺陷的幕后黑手。

      高通在公告中写道：“谷歌威胁分析小组和谷歌Project Zero表示有迹象表明，CVE-2023-33106、CVE-2023-3 3107、CVE-202—22071和CVE-2023—3063可能受到有限的、有针对性的利用。针对影响Adreno GPU和Compute DSP驱动程序的问题的补丁已经提供，OEM已收到通知，强烈建议尽快部署安全更新。有关特定设备的修补程序状态的详细信息，请与设备制造商联系。CVE-2022-22071已包含在2022年5月的公开公告中。其余CVE的详细信息将在2023年12月的公开公报中分享。”

      芯片制造商解决的三个严重漏洞是：

      CVE-2023-24855:在调制解调器中使用超范围指针偏移。问题是在AS security Exchange之前处理安全相关配置时，调制解调器内存损坏。

      CVE-2023-28540:数据调制解调器中的身份验证不正确。该漏洞是数据调制解调器中的加密问题，由TLS握手过程中的不正确身份验证引起。

      CVE-2023-33028:WLAN固件中未检查输入大小的缓冲区复制。该漏洞是在对pmk缓存进行内存复制时发生的WLAN固件内存损坏。

      目前没有证据表明上述漏洞在野外攻击中被利用。