Qualcomm เปิดเผยแพร่รายละเอียดช่องโหว่ของชิปที่ถูกใช้ประโยชน์แบบ Targeted Attack

522/66 (IT) ประจำวันพฤหัสบดีที่ 7 ธันวาคม 2566

ผู้ผลิตชิป Qualcomm ได้เปิดเผยข้อมูลเกี่ยวกับช่องโหว่ที่มีความรุนแรงระดับ high จำนวน 3 รายการ ที่ระบุว่าเป็นการใช้ประโยชน์แบบ limited และ targeted ในเดือนตุลาคม 2023 โดยช่องโหว่มีดังนี้ –

– CVE-2023-33063 (CVSS score: 7.8) – หน่วยความจำเสียหายในบริการ DSP ระหว่างการโทรระยะไกลจาก HLOS ไปยัง DSP

– CVE-2023-33106 (CVSS score: 8.4) – หน่วยความจำเสียหายในกราฟิกขณะส่ง sync point จำนวนมากในคำสั่ง AUX ไปยัง IOCTL_KGSL_GPU_AUX_COMMAND.

– CVE-2023-33107 (CVSS score: 8.4) – หน่วยความจำเสียหายใน Graphics Linux ขณะ assigning shared virtual memory region ระหว่างการโทร IOCTL

Threat Analysis Group ของ Google และ Google Project Zero ได้เปิดเผยเมื่อเดือนตุลาคม 2023 ว่าช่องโหว่จำนวน 3 รายการ ที่รวมถึงช่องโหว่ CVE-2022-22071 (คะแนน CVSS: 8.4) ได้ถูกใช้ประโยชน์อย่างแพร่หลายซึ่งเป็น targeted attack โดยนักวิจัยด้านความปลอดภัยชื่อ Luckyrb ทีมรักษาความปลอดภัยของ Google Android และนักวิจัย TAG Benoît Sevens และ Jann Horn จาก Google Project Zero ได้รับเครดิตในการรายงานปัญหาด้านความปลอดภัย    

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และความปลอดภัยโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เพิ่มช่องโหว่ทั้ง 4 รายการลงใน Known Exploited Vulnerabilities (KEV) โดยให้หน่วยงานรัฐบาลกลางดำเนินการแพตช์ภายในวันที่ 26 ธันวาคม 2023

แหล่งข่าว https://thehackernews.com/2023/12/qualcomm-releases-details-on-chip.html