A Qualcomm está alertando sobre três vulnerabilidades de dia zero em seus drivers de GPU e DSP que hackers estão explorando ativamente em ataques. A fabricante americana de semicondutores foi informada pelas equipes do Threat Analysis Group (TAG) e do Projeto Zero do Google que as falhas, identificadas como CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 e CVE-2023-33063 podem estar sob exploração direcionada.
A Qualcomm diz que lançou atualizações de segurança que abordam os problemas em seus drivers Adreno GPU e Compute DSP, e os fabricantes OEMs afetados também foram notificados. “Patches para os problemas que afetam a GPU Adreno e os drivers DSP de computação foram disponibilizados, e os OEMs foram notificados com uma forte recomendação para implantar atualizações de segurança o mais rápido possível”, diz nota da empresa.
A falha CVE-2022-22071 foi divulgada em maio de 2022 e recebeu escore de 8.4 no sistema de pontuação comum de vulnerabilidades (CVSS). Ela se tornou explorável após bugs gratuitos que afetam chips populares como o SD855, SD865 5G e SD888 5G terem sido divulgados.
A Qualcomm deu detalhes sobre as falhas CVE-2023-33106, CVE-2022-22071 e CVE-2023-33063 exploradas ativamente e fornecerá mais informações em seu boletim de dezembro. O boletim de segurança deste mês também alerta para três outras vulnerabilidades críticas:
- CVE-2023-24855: corrupção de memória no componente modem da Qualcomm que ocorre ao processar configurações relacionadas à segurança antes do AS Security Exchange. (CVSS v3.1: 9.8)
- CVE-2023-28540: problema criptográfico no componente Data Modem decorrente de autenticação incorreta durante o handshake TLS. (CVSS v3.1: 9.1)
- CVE-2023-33028: corrupção de memória no firmware da WLAN que ocorre ao copiar a memória cache pmk sem executar verificações de tamanho. (CVSS v3.1: 9.8)
Veja isso
Falha em chip Qualcomm pega 30% dos celulares
Chip Qualcomm Snapdragon tem mais de 400 falhas críticas
Além destas, a Qualcomm divulgou outras 13 falhas de alta gravidade e três vulnerabilidades de gravidade crítica descobertas por seus engenheiros. Como as falhas CVE-2023-24855, CVE-2023-2854 e CVE-2023-33028 são todas remotamente exploráveis, elas são críticas do ponto de vista da segurança, mas não há indicação de que sejam exploradas.
Infelizmente, não há muito o que os consumidores impactados possam fazer além de aplicar as atualizações disponíveis assim que elas chegarem até eles através dos canais OEM usuais.
Falhas nos drivers geralmente exigem acesso local para exploração, normalmente alcançado por meio de infecções por malware, portanto, os proprietários de dispositivos Android são recomendados a limitar o número de aplicativos que baixam e apenas obtê-los de repositórios confiáveis.
