![高通修复了在攻击中被利用的高危零日漏洞]( "高通修复了在攻击中被利用的高危零日漏洞")
高通公司发布了针对数字信号处理器 (DSP) 服务零日漏洞的安全补丁,该漏洞影响了数十款芯片组。
该安全漏洞 ( CVE-2024-43047 ) 由 Google Project Zero 的 Seth Jenkins 和大赦国际安全实验室的 Conghui Wang 报告,它是由使用后释放漏洞引起的,如果被具有低权限的本地攻击者成功利用,可能会导致内存损坏。
“目前,DSP 使用未使用的 DMA 句柄 fds 更新标头缓冲区。在 put_args 部分中,如果标头缓冲区中存在任何 DMA 句柄 FD,则释放相应的映射”,如 DSP 内核提交中所述。
“但是,由于未签名的 PD 中的头缓冲区暴露给用户,因此用户可以更新无效的 FD。如果此无效 FD 与任何已在使用的 FD 匹配,则可能导致释放后使用 (UAF) 漏洞。”
正如该公司在周一的安全公告中警告的那样,谷歌威胁分析小组和大赦国际安全实验室的安全研究人员将该漏洞标记为已被广泛利用。这两个组织都因发现间谍软件利用的零日漏洞而出名,这些漏洞针对的是高风险个人(包括记者、反对派政客和异见人士)的移动设备。
高通今天警告称:“谷歌威胁分析小组的迹象表明,CVE-2024-43047 可能受到有限的、有针对性的利用。” “针对影响 FASTRPC 驱动程序的问题的补丁已提供给 OEM,并强烈建议尽快在受影响的设备上部署更新。”
高通还敦促用户联系其设备制造商,以获取有关其特定设备补丁状态的更多详细信息。
![高通修复了在攻击中被利用的高危零日漏洞]( "高通修复了在攻击中被利用的高危零日漏洞")
今天,该公司还修复了 WLAN 资源管理器中一年多前报告的一个几乎最高严重程度的漏洞 (CVE-2024-33066),该漏洞由不当的输入验证弱点引起,可能导致内存损坏。
去年 10 月,高通还警告称,攻击者正在利用其 GPU 和 Compute DSP 驱动程序中的三个零日漏洞。
根据谷歌威胁分析小组 (TAG) 和 Project Zero 团队的报告,该漏洞被用于有限的、有针对性的攻击。谷歌和高通尚未透露有关这些攻击的更多信息。
近年来,高通还修补了芯片组漏洞,这些漏洞可能允许攻击者访问用户的媒体文件、短信、通话记录和实时对话。
高通还修复了其骁龙数字信号处理器 (DSP) 芯片中的缺陷,该缺陷允许黑客在没有用户交互的情况下控制智能手机、监视用户并创建能够逃避检测的不可删除的恶意软件。
KrØØk是另一个于 2020 年修补的漏洞,它使攻击者能够解密一些 WPA2 加密的无线网络数据包,而另一个现已修复的漏洞允许访问关键数据。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):高通修复了在攻击中被利用的高危零日漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3288599.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论