Kritické a zero-day zraniteľnosti čipov Qualcomm

Spoločnosť QUALCOMM vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú zero-day zraniteľnosť v službe DSP (Digital Signal Processor) využívanej vo viacerých chipsetoch a kritickú zraniteľnosť v komponente WLAN Resource Manager.

Zraniteľné systémy:

• Qualcomm Digital Signal Processor (DSP)
• Qualcomm WLAN Resource Manager

Kompletný prehľad zraniteľných chipsetov sa nachádza tu.

Opis činnosti:

Spoločnosť Qualcomm opravila v októbri 2024 20 zraniteľností vo svojich produktoch. Z toho je jedna hodnotená ako kritická, 12 vysoko a 7 stredne závažné. Jednu zraniteľnosť aktívne zneužívajú útočníci pri cielených útokoch.

CVE-2024-43047 (CVSS skóre 7,8)

Aktívne zneužívaná zero-day zraniteľnosť v službe DSP (Digital Signal Processor), ktorú využívajú viaceré chipsety. CVE-2024-43047 spočíva v opätovnom použití uvoľneného miesta v pamäti a lokálny útočník s nízkymi oprávneniami by ju mohol zneužiť na poškodenie pamäte.

Chybu objavil Seth Jenkins z Google Project Zero a Conghui Wang z Amnesty International Security Lab.

CVE-2024-33066 (CVSS skóre 9,8)

Kritická zraniteľnosť WLAN Resource Manager, ktorá bola objavená pred rokom, spočíva v nedostatočnom overovaní vstupov a možno ju zneužiť na poškodenie pamäte.

Možné škody:

• Poškodenie pamäte

Odporúčania:

Qualcomm odporúča bezodkladnú aktualizáciu firmvéru (ovládač FASTRPC) zraniteľných chipsetov.

Odkazy:

• https://docs.qualcomm.com/product/publicresources/securitybulletin/october-2024-bulletin.html
• https://www.bleepingcomputer.com/news/security/qualcomm-patches-high-severity-zero-day-exploited-in-attacks/