A Qualcomm lançou atualizações de segurança para corrigir quase duas dúzias de falhas abrangendo componentes proprietários e de código aberto, incluindo uma que está sob exploração ativa.
A vulnerabilidade de alta gravidade, identificada como
CVE-2024-43047
(pontuação CVSS: 7.8), foi descrita como um bug de "use-after-free" no Serviço de Processador de Sinal Digital (DSP) que poderia levar a uma "corrupção de memória enquanto mantém mapas de memória do HLOS".
A Qualcomm creditou os pesquisadores do Google Project Zero, Seth Jenkins e Conghui Wang, por relatarem a falha, e o Laboratório de Segurança da Anistia Internacional por confirmar a atividade em ambiente real.
"Há indicações do Google Threat Analysis Group de que o
CVE-2024-43047
pode estar sob exploração limitada e direcionada", disse o fabricante de chips em um aviso.
Patches para o problema que afeta o driver FASTRPC foram disponibilizados para os OEMs, juntamente com uma forte recomendação para implementar a atualização nos dispositivos afetados o quanto antes.
O escopo total dos ataques e seu impacto ainda é desconhecido, embora seja possível que eles possam ter sido usados como parte de ataques de spyware visando membros da sociedade civil.
O patch de outubro também aborda uma falha crítica no Gerenciador de Recursos WLAN (
CVE-2024-33066
, pontuação CVSS: 9.8) causada por uma validação inadequada de entrada que pode resultar em corrupção de memória.
Este desenvolvimento ocorre enquanto a Google lançou seu próprio boletim de segurança mensal do Android com correções para 28 vulnerabilidades, que também incluem problemas identificados em componentes da Imagination Technologies, MediaTek e Qualcomm.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...