Qualcomm

Qualcomm met en garde contre trois vulnérabilités zero-day dans ses pilotes GPU et Compute DSP que les pirates exploitent activement dans leurs attaques.

La société américaine de semi-conducteurs a été informée par les équipes du Threat Analysis Group (TAG) et du Project Zero de Google que CVE-2023-33106, CVE-2023-33107, CVE-2022-22071et CVE-2023-33063 peut faire l’objet d’une exploitation limitée et ciblée.

Qualcomm affirme avoir publié des mises à jour de sécurité qui résolvent les problèmes de ses pilotes Adreno GPU et Compute DSP, et les OEM concernés ont également été informés.

Publicité
« Des correctifs pour les problèmes affectant les pilotes Adreno GPU et Compute DSP ont été mis à disposition, et les OEM ont été informés avec une forte recommandation de déployer des mises à jour de sécurité dès que possible » – Qualcomm.

La faille CVE-2022-22071 était divulgué en mai 2022 et il s’agit d’une utilisation de haute gravité (CVSS v3.1 : 8.4) exploitable localement après un bug gratuit affectant les puces populaires comme le SD855, le SD865 5G et le SD888. 5G

Qualcomm n’a publié aucun détail sur les failles activement exploitées CVE-2023-33106, CVE-2022-22071 et CVE-2023-33063 et fournira plus d’informations dans son bulletin de décembre 2023.

Le bulletin de sécurité de ce mois-ci met également en garde contre trois autres vulnérabilités critiques :

  • CVE-2023-24855: Corruption de la mémoire dans le composant Modem de Qualcomm se produisant lors du traitement des configurations liées à la sécurité avant AS Security Exchange. (CVSS v3.1 : 9.8)
  • CVE-2023-28540: Problème cryptographique dans le composant Data Modem résultant d’une authentification incorrecte lors de la prise de contact TLS. (CVSS v3.1 : 9.1)
  • CVE-2023-33028: Corruption de la mémoire dans le micrologiciel WLAN se produisant lors de la copie de la mémoire cache pmk sans effectuer de vérifications de taille. (CVSS v3.1 : 9.8)

Parallèlement à ce qui précède, Qualcomm a divulgué 13 failles de haute gravité et trois autres vulnérabilités de gravité critique découvertes par ses ingénieurs.

Comme les failles CVE-2023-24855, CVE-2023-2854 et CVE-2023-33028 sont toutes exploitables à distance, elles sont critiques du point de vue de la sécurité, mais rien n’indique qu’elles soient exploitées.

Malheureusement, les consommateurs concernés ne peuvent pas faire grand-chose à part appliquer les mises à jour disponibles dès que celles-ci leur parviennent via les canaux OEM habituels.

Les failles des pilotes nécessitent généralement un accès local pour être exploitées, généralement obtenues via des infections par des logiciels malveillants. Il est donc recommandé aux propriétaires d’appareils Android de limiter le nombre d’applications qu’ils téléchargent et de les obtenir uniquement à partir de référentiels fiables.

Hier, Arm a publié un avis de sécurité similaire concernant une faille activement exploitée (CVE-2023-4211 découverte et signalée par le Threat Analysis Group (TAG) de Google et Project Zero, qui affecte un large éventail de pilotes GPU du Mali.

4/5 - (27 votes)
Publicité
Article précédentLe multijoueur de The Last of Us « sur de la glace mince » après les licenciements de Naughty Dog
Article suivantADOPTACLASSROOM.ORG POUR APPORTER DONJONS ET DRAGONS AUX ÉTUDIANTS À PARTIR DES ÉTATS-UNIS ; 200 salles de classe à besoins élevés recevront les bibliothèques D&D ; Les enseignants peuvent participer et courir la chance de gagner aujourd’hui, le 3 octobre 2023 à 11 h 38 HAE.
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici