Google威胁情报小组以及Google Zero Project团队已经在10月份透露高通芯片中出现新漏洞并且已经在野外遭到利用,这些漏洞的利用是有限的和有针对性的,一般来说都是黑客集团进行针对性的攻击,例如间谍行为。
目前还不清楚这些漏洞怎么被武器化以及发起攻击的幕后黑手是谁,Google本周公布Android 2023-12安全公告的时候透露了这些漏洞。
现在高通也在安全公告里公布了这些漏洞,CVSS评分都非常高:
第一个漏洞是CVE-2023-33063,CVSS评分为7.8分,描述是从HLOS到DSP的远程调用期间内存损坏;
第二个漏洞是CVE-2023-33106,CVSS评分为8.4分,描述是在向IOCTL_KGSL_GPU_AUX_COMMAND提交AUX命令中的大量同步列表时导致图形内存损坏;
第三个漏洞是CVE-2023-33107,CVSS评分为8.4分,描述是IOCTL调用期间分配共享虚拟内存区域时,图形内存损坏;
除了这些漏洞外,Android 2023-12安全公告里还解决了85个缺陷,其中系统组件里有个高危漏洞是CVE-2023-40088,该漏洞可能导致远程代码执行而且不需要任何交互。
接下来相关漏洞补丁会发布的AOSP里供OEM获取然后适配机型发布更新,所以用户什么时候能收到更新主要取决于OEM了。
评论已关闭。