全球知名的晶片製造商高通日前針對旗下產品發布數則安全更新,用以解決產品各組件中的17個漏洞,同時發出警告表示,還有三個另外的零日漏洞目前正有心人士利用作為攻擊手段。
在這17個漏洞中,3個被評為危急,13個被評為高風險,一個被評為中風險。
該公司在一份聲明中表示:“根據Google威脅分析小組和Google Project Zero的資訊指出,CVE-2023-33106、CVE-2023-33107、CVE-2022-22071和CVE-2023-33063可能正受到有限、但針對性的利用。”
CVE-2022-22071(CVSS評分:8.4)是汽車操作系統平台中的漏洞,主要是影響Adreno GPU和Compute DSP驅動程式的問題,目前高通公司已在2022年5月更新時針對此項目進行了修補。此外,高通在2023年10月的更新解決了三個危急的漏洞,目前尚未發現此三個漏洞有任何被利用的跡象產生:
- CVE-2023-24855(CVSS評分:9.8) – 在 AS 安全交換之前處理安全相關設定時的Modem的記憶體損壞。
- CVE-2023-28540(CVSS評分:9.1) – 由於在TLS交握時進行不正確的驗證,導致Data Modem中的加密產生錯誤。
- CVE-2023-33028(CVSS評分:9.8) – 在進行pmk高速緩存的記憶體複製時,WLAN韌體中的記憶體損壞。
建議相關的設備製造商都應盡快執行全面的安全更新。
目前仍遭到利用的三個漏洞,預計將在2023年12月公開更多細節資訊,但消息公布的同時,Arm也發布了針對Mali GPU核心驅動程序的安全漏洞(CVE-2023-4211)的修補更新,該漏洞也受到了有限並針對的攻擊。可猜測或許前述三個漏洞也與此漏洞有相關聯。
高通安全性更新說明:
https://docs.qualcomm.com/product/publicresources/securitybulletin/october-2023-bulletin.html
更多關於高通與半導體相關的資安新聞:
Lapsus$又出擊,科技巨擘三星Samsung疑遭殃,傳出被盜190GB原始碼,高通也被波及
LockBit3.0二度入侵台灣上市半導體!製作LockBit的產生器流出!
傳出上市半導體企業遭勒索軟體攻擊,這次的罪魁禍首是它-Cuba Ransomware!首見勒索軟體古巴入侵台灣!
日商半導體材料公司兼台積電供應商Fujimi和其台灣子公司福吉米遭第三方未經授權存取,生產線停擺,官網無法進入