Qualcomm confronta falha de segurança
8 de Outubro de 2024

A Qualcomm lançou atualizações de segurança para corrigir quase duas dúzias de falhas abrangendo componentes proprietários e de código aberto, incluindo uma que está sob exploração ativa.

A vulnerabilidade de alta gravidade, identificada como CVE-2024-43047 (pontuação CVSS: 7.8), foi descrita como um bug de "use-after-free" no Serviço de Processador de Sinal Digital (DSP) que poderia levar a uma "corrupção de memória enquanto mantém mapas de memória do HLOS".

A Qualcomm creditou os pesquisadores do Google Project Zero, Seth Jenkins e Conghui Wang, por relatarem a falha, e o Laboratório de Segurança da Anistia Internacional por confirmar a atividade em ambiente real.

"Há indicações do Google Threat Analysis Group de que o CVE-2024-43047 pode estar sob exploração limitada e direcionada", disse o fabricante de chips em um aviso.

Patches para o problema que afeta o driver FASTRPC foram disponibilizados para os OEMs, juntamente com uma forte recomendação para implementar a atualização nos dispositivos afetados o quanto antes.

O escopo total dos ataques e seu impacto ainda é desconhecido, embora seja possível que eles possam ter sido usados como parte de ataques de spyware visando membros da sociedade civil.

O patch de outubro também aborda uma falha crítica no Gerenciador de Recursos WLAN ( CVE-2024-33066 , pontuação CVSS: 9.8) causada por uma validação inadequada de entrada que pode resultar em corrupção de memória.

Este desenvolvimento ocorre enquanto a Google lançou seu próprio boletim de segurança mensal do Android com correções para 28 vulnerabilidades, que também incluem problemas identificados em componentes da Imagination Technologies, MediaTek e Qualcomm.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...