Google 脅威インテリジェンス チームと Google ゼロ プロジェクト チームは 10 月、クアルコムのチップに新たな脆弱性が出現し、悪用されていることを明らかにしました。これらの脆弱性の悪用は限定されており、対象が絞られています。一般的に、ハッカー グループはスパイ活動などの標的型攻撃を実行します。
脆弱性がどのようにして武器化されたのか、攻撃の背後に誰がいたのかは不明であり、Googleが今週Android 2023-12セキュリティ情報を公開した際に明らかにした。
現在、クアルコムもセキュリティ情報でこれらの脆弱性を発表しており、CVSS スコアは非常に高いです。
最初の脆弱性は CVE-2023-33063 で、CVSS スコアは 7.8 で、HLOS から DSP へのリモート呼び出し中のメモリ破損として説明されています。
2 番目の脆弱性は CVE-2023-33106 で、CVSS スコアは 8.4 で、AUX コマンド内の大規模な同期リストを IOCTL_KGSL_GPU_AUX_COMMAND に送信すると、グラフィックス メモリの破損が引き起こされると説明されています。
3 番目の脆弱性は CVE-2023-33107 で、CVSS スコアは 8.4 です。説明は、IOCTL 呼び出し中に共有仮想メモリ領域を割り当てる際のグラフィックス メモリの破損です。
これらの脆弱性に加えて、85 件の欠陥も Android 2023-12 セキュリティ情報で対処されました。このうち、システム コンポーネントに存在するリスクの高い脆弱性は CVE-2023-40088 で、対話なしでリモートでコードが実行される可能性があります。
次に、関連する脆弱性パッチが OEM 向けに AOSP でリリースされ、OEM が入手して、適応モデルのアップデートをリリースするため、ユーザーがいつアップデートを受信できるかは主に OEM に依存します。