Qualcomm met en garde contre trois vulnérabilités zero-day dans ses pilotes GPU et Compute DSP que les pirates exploitent activement dans leurs attaques.
La société américaine de semi-conducteurs a été informée par les équipes du Threat Analysis Group (TAG) et du Project Zero de Google que CVE-2023-33106, CVE-2023-33107, CVE-2022-22071et CVE-2023-33063 peut faire l’objet d’une exploitation limitée et ciblée.
Qualcomm affirme avoir publié des mises à jour de sécurité qui résolvent les problèmes de ses pilotes Adreno GPU et Compute DSP, et les OEM concernés ont également été informés.
La faille CVE-2022-22071 était divulgué en mai 2022 et il s’agit d’une utilisation de haute gravité (CVSS v3.1 : 8.4) exploitable localement après un bug gratuit affectant les puces populaires comme le SD855, le SD865 5G et le SD888. 5G
Qualcomm n’a publié aucun détail sur les failles activement exploitées CVE-2023-33106, CVE-2022-22071 et CVE-2023-33063 et fournira plus d’informations dans son bulletin de décembre 2023.
Le bulletin de sécurité de ce mois-ci met également en garde contre trois autres vulnérabilités critiques :
- CVE-2023-24855: Corruption de la mémoire dans le composant Modem de Qualcomm se produisant lors du traitement des configurations liées à la sécurité avant AS Security Exchange. (CVSS v3.1 : 9.8)
- CVE-2023-28540: Problème cryptographique dans le composant Data Modem résultant d’une authentification incorrecte lors de la prise de contact TLS. (CVSS v3.1 : 9.1)
- CVE-2023-33028: Corruption de la mémoire dans le micrologiciel WLAN se produisant lors de la copie de la mémoire cache pmk sans effectuer de vérifications de taille. (CVSS v3.1 : 9.8)
Parallèlement à ce qui précède, Qualcomm a divulgué 13 failles de haute gravité et trois autres vulnérabilités de gravité critique découvertes par ses ingénieurs.
Comme les failles CVE-2023-24855, CVE-2023-2854 et CVE-2023-33028 sont toutes exploitables à distance, elles sont critiques du point de vue de la sécurité, mais rien n’indique qu’elles soient exploitées.
Malheureusement, les consommateurs concernés ne peuvent pas faire grand-chose à part appliquer les mises à jour disponibles dès que celles-ci leur parviennent via les canaux OEM habituels.
Les failles des pilotes nécessitent généralement un accès local pour être exploitées, généralement obtenues via des infections par des logiciels malveillants. Il est donc recommandé aux propriétaires d’appareils Android de limiter le nombre d’applications qu’ils téléchargent et de les obtenir uniquement à partir de référentiels fiables.
Hier, Arm a publié un avis de sécurité similaire concernant une faille activement exploitée (CVE-2023-4211 découverte et signalée par le Threat Analysis Group (TAG) de Google et Project Zero, qui affecte un large éventail de pilotes GPU du Mali.