Hãng sản xuất chip khổng lồ Qualcomm vừa phát hành bản cập nhật trong tháng để vá 16 lỗ hổng, trong số này có hai lỗ hổng nghiêm trọng có thể khiến khiến hàng tỷ thiết bị đứng trước nguy cơ tấn công.
Hai lỗ hổng:
CVE-2023-28578 (CVSS 9.3): ẩn trong Core Services của Qualcomm, có thể bị khai thác để làm hỏng bộ nhớ trong khi thực thi lệnh, mở ra cánh cửa nguy hiểm cho các cuộc tấn công tiếp theo. Lỗ hổng ảnh hưởng đến nhiều loại chipset từ Modem IoT 315 5G đến Nền tảng Snapdragon XR2+ Gen 1.
CVE-2023-28582 (CVSS 9.8): tồn tại trong Modem dữ liệu của Qualcomm, có thể bị khai thác để làm hỏng bộ nhớ trong khi các thiết bị đang thực hiện bắt tay bảo mật, từ đó thực thi mã độc và kiểm soát thiết bị. Lỗ hổng ảnh hưởng đến nhiều chipset, bao gồm dòng Snapdragon 8 Gen và nhiều mẫu FastConnect.
14 lỗ hổng được vá còn lại trải rộng trên nhiều thành phần khác nhau như bộ xử lý cuộc gọi đa chế độ, modem, Bluetooth HOST và chương trình cơ sở WLAN…
Qualcomm đã phát hành bản cập nhật để giải quyết các lỗ hổng này và thông báo cho các Nhà sản xuất thiết bị gốc (OEM) bị ảnh hưởng. Tuy nhiên, việc cung cấp các bản cập nhật này cho người dùng cuối sẽ phụ thuộc vào khả năng phản hồi của OEM và hiệu quả của các kênh phân phối của họ.
Nguồn: Security Online