O fabricante de chips Qualcomm divulgou mais informações sobre três falhas de segurança de alta gravidade que, segundo a empresa, sofreram uma "exploração limitada e direcionada" em outubro de 2023.
As vulnerabilidades são as seguintes:
CVE-2023-33063 (Pontuação CVSS: 7.8) - Corrupção de memória nos Serviços DSP durante uma chamada remota de HLOS para DSP.
CVE-2023-33106 (Pontuação CVSS: 8.4) - Corrupção de memória em Gráficos ao enviar uma grande lista de pontos de sincronização em um comando AUX para IOCTL_KGSL_GPU_AUX_COMMAND.
CVE-2023-33107 (Pontuação CVSS: 8.4) - Corrupção de memória em Gráficos Linux ao atribuir região de memória virtual compartilhada durante chamada IOCTL.
O Grupo de Análise de Ameaças do Google e o Google Project Zero revelaram em outubro de 2023 que as três falhas, juntamente com o
CVE-2022-22071
(Pontuação CVSS: 8.4), foram exploradas na natureza como parte de ataques limitados e direcionados.
Um pesquisador de segurança chamado luckyrb, a equipe de Segurança do Android do Google e os pesquisadores do TAG, Benoît Sevens e Jann Horn do Google Project Zero, foram creditados por relatar as vulnerabilidades de segurança, respectivamente.
Atualmente, não se sabe como essas falhas foram armadas e quem está por trás dos ataques.
No entanto, o desenvolvimento levou a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a adicionar os quatro bugs ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), instando as agências federais a aplicar os patches até 26 de dezembro de 2023.
Isso também segue o anúncio do Google de que as atualizações de segurança de dezembro de 2023 para o Android abordam 85 falhas, incluindo um problema crítico no componente do Sistema rastreado como
CVE-2023-40088
que "poderia levar à execução de código remoto
(proximal/adjacente) sem a necessidade de privilégios de execução adicionais" e sem qualquer interação do usuário.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...