A Qualcomm lançou atualizações de segurança para corrigir quase duas dúzias de falhas abrangendo componentes proprietários e de código aberto, incluindo uma que está sob exploração ativa.
A vulnerabilidade de alta gravidade, identificada como
CVE-2024-43047
(pontuação CVSS: 7.8), foi descrita como um bug de "use-after-free" no Serviço de Processador de Sinal Digital (DSP) que poderia levar a uma "corrupção de memória enquanto mantém mapas de memória do HLOS".
A Qualcomm creditou os pesquisadores do Google Project Zero, Seth Jenkins e Conghui Wang, por relatarem a falha, e o Laboratório de Segurança da Anistia Internacional por confirmar a atividade em ambiente real.
"Há indicações do Google Threat Analysis Group de que o
CVE-2024-43047
pode estar sob exploração limitada e direcionada", disse o fabricante de chips em um aviso.
Patches para o problema que afeta o driver FASTRPC foram disponibilizados para os OEMs, juntamente com uma forte recomendação para implementar a atualização nos dispositivos afetados o quanto antes.
O escopo total dos ataques e seu impacto ainda é desconhecido, embora seja possível que eles possam ter sido usados como parte de ataques de spyware visando membros da sociedade civil.
O patch de outubro também aborda uma falha crítica no Gerenciador de Recursos WLAN (
CVE-2024-33066
, pontuação CVSS: 9.8) causada por uma validação inadequada de entrada que pode resultar em corrupção de memória.
Este desenvolvimento ocorre enquanto a Google lançou seu próprio boletim de segurança mensal do Android com correções para 28 vulnerabilidades, que também incluem problemas identificados em componentes da Imagination Technologies, MediaTek e Qualcomm.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...