Bản vá của Chipset Qualcomm và Lenovo BIOS xử lý nhiều lỗ hổng nghiêm trọng

[Marcus1337]

Vào ngày thứ ba (03/01/2023) Qualcom đã phát hành các bản vá để giải quyết nhiều lỗ hổng trong các chipset của mình, một số trong đó có thể bị lợi dụng để gây lộ thông tin và hỏng bộ nhớ.

Năm lỗ hổng – có mã định danh từ CVE-2022-40516 đến CVE-2022-40520 – cũng ảnh hưởng đến máy tính xách tay Lenovo ThinkPad X13s, khiến nhà sản xuất PC Trung Quốc phải phát hành bản cập nhật BIOS để khắc phục.

Danh sách các lỗ hổng như sau:

• CVE-2022-40516, CVE-2022-40517 và CVE-2022-40520 (Điểm CVSS: 8,4): Lỗi bộ nhớ trong Core do tràn bộ đệm dựa trên ngăn xếp
• CVE-2022-40518 và CVE-2022-40519 (Điểm CVSS: 6,8): Lỗi tiết lộ thông tin do đọc quá nhiều bộ đệm trong Core (buffer over-read)

Các lỗ hổng tràn bộ đệm dựa trên ngăn xếp có thể dẫn đến các tác động nghiêm trọng như hỏng dữ liệu, các sự cố hệ thống và thực thi mã tùy ý. Mặt khác, việc đọc quá mức bộ đệm có thể được khai thác để đọc bộ nhớ ngoài giới hạn, dẫn đến việc tiết lộ dữ liệu bí mật.

Lenovo đã lưu ý trong một cảnh báo rằng việc khai thác thành công các lỗ hổng nói trên có thể cho phép một kẻ tấn công có đặc quyền cao gây ra hỏng bộ nhớ hoặc rò rỉ thông tin nhạy cảm. Hãng cũng đã khắc phục bốn lỗ hổng đọc quá bộ đệm khác trong BIOS ThinkPad X13 có thể dẫn đến tiết lộ thông tin. Các lỗ hổng có tên lần lượt là CVE-2022-4432, CVE-2022-4433, CVE-2022-4434 và CVE-2022-4435.

Người dùng ThinkPad X13 nên cập nhật BIOS lên phiên bản 1.47 (N3HET75W) hoặc mới hơn. Ngoài ra, bản tin an ninh tháng 1/2023 của Qualcomm cũng đã khắc phục 17 lỗ hổng khác.

Nguồn: The Hacker News​