在新年的第一天,高通公开了一个重大漏洞,该漏洞可能通过LTE网络上的恶意语音电话进行远程攻击。
2024年1月的安全公告列出了总共26个漏洞,其中包括四个严重漏洞,影响了高通的芯片组。已向使用高通芯片的原始设备制造商(OEM)提供了补丁,包括在流行的Snapdragon系列中使用的设备。
当通过LTE接听电话时,高通的严重漏洞存在风险
据高通称,最严重的错误被追踪为CVE-2023-33025,其CVSS评分为9.8。这个漏洞涉及到一个经典的缓冲区溢出错误,导致数据调制解调器在处理语音LTE(VoLTE)电话时出现内存损坏,这种情况发生在会话描述协议(SDP)主体非标准的情况下。
SDP通常通过提供某些会话、媒体、时间和网络信息,以标准格式帮助两个设备进行通信会话,如VoLTE电话。如果远程攻击者可以使用自己的内容操纵SDP主体,并发起一个电话,使得恶意SDP被接收设备的数据调制解调器处理,调制解调器的内存损坏可能被攻击者用于远程代码执行(RCE)。
高通的一位发言人告诉SC媒体,虽然这种利用是可能的,但要实现起来很困难,因为攻击者需要控制LTE网络本身才能使攻击起作用。因此,建议用户只连接到安全、可信的LTE网络。
CVE-2023-33025影响了两打高通芯片,包括Snapdragon 680和Snapdragon 685 4G移动平台。这些芯片被用在一系列的智能手机和平板电脑中,包括三星Galaxy、摩托罗拉Moto和华为Enjoy以及Nova产品系列的型号。新的Snapdragon X65 5G Modem和Snapdragon X70 Modem RF系统也受到影响。
OEM首次在2023年7月7日被通知该漏洞,允许他们在公开披露前约六个月更新他们的系统。高通的一位发言人告诉SC媒体,CVE-2023-33025将在2024年1月的Android安全公告周二中包含。
其他严重的漏洞可能导致永久性的DoS,本地攻击
还标记了三个本地访问漏洞为严重,包括一个可能导致永久性DoS和两个可能导致内存损坏的漏洞。
CVE-2023-33036被高通给予了严重的安全评级,CVSS评分为7.1,因为NULL指针解引用导致了超级管理程序软件的永久性中断。当一个没有电源状态协调接口(PSCI)支持的不可信虚拟机发起一个PSCI调用(即与电源管理相关的请求)时,这个问题就会发生。这个漏洞影响了100多个芯片组,包括在Snapdragon系列中的许多芯片。
CVE-2023-33030的CVSS评分为9.3,这是另一个缓冲区溢出错误,导致在运行Microsoft PlayReady用例(即播放受PlayReady复制防护技术保护的媒体文件)时高级操作系统(HLOS)内存损坏。这个漏洞影响了200多个芯片组,从智能手机和电脑芯片到用于可穿戴设备和其他IoT设备的芯片。
CVE-2023-33032的CVSS评分也为9.3,是一个整数溢出或包围错误。当从受信任的应用(TA)区域请求内存分配时,可以在ARM TrustZone安全OS中导致内存损坏。这个缺陷影响了100多个高通芯片组。
客户在2023年7月3日被通知了所有这些严重的漏洞,并通过高通提供的软件补丁解决了所有的错误。该公司建议使用受影响芯片的设备的用户联系设备制造商,了解补丁的状态,并应用所有可用的更新。
#免责声明#
①本站部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
②若您需要商业运营或用于其他商业活动,请您购买正版授权并合法使用。
③如果本站有侵犯、不妥之处的资源,请联系我们。将会第一时间解决!
④本站部分内容均由互联网收集整理,仅供大家参考、学习,不存在任何商业目的与商业用途。
⑤本站提供的所有资源仅供参考学习使用,版权归原著所有,禁止下载本站资源参与任何商业和非法行为,请于24小时之内删除!
