Qualcomm vá 3 lỗ hổng nghiêm trọng đầu năm 2024

[WhiteHat Team]

Đầu năm mới, hãng công nghệ sản xuất chip của Mỹ - Qualcomm đã giải quyết 14 lỗ hổng trong các sản phẩm của hãng. Đáng chú ý là 3 lỗ hổng nghiêm trọng đều có điểm CVSS trên 9.

​

CVE-2023-33025, điểm CVSS 9,8​

Lỗ hổng này xuất phát từ lỗi làm hỏng bộ nhớ tại các thành phần SDP không tuân theo chuẩn của các cuộc gọi VOLTE khiến nhiều loại chipset bị kiểm soát, bao gồm cả dòng Snapdragon, WCD và WCN.

CVE-2023-33030, điểm CVSS 9,3​

Đây cũng là lỗi làm hỏng bộ nhớ xảy ra trong hệ điều hành cấp cao HLOS (High-Level Operating System) sử dụng công nghệ playready, ảnh hưởng lớn đến các sản phẩm của Qualcomm trên nhiều nền tảng khác nhau, từ modem IoT đến sản phẩm trong ngành công nghiệp ô tô và âm thanh.

CVE-2023-33032, điểm CVSS 9,3​

Lỗ hổng thứ ba liên quan đến lỗi bộ nhớ trong hệ điều hành bảo mật TrustZone (TZ Secure OS) khi yêu cầu phân bổ bộ nhớ từ vùng ứng dụng đáng tin cậy (TA - Trusted Application), ảnh hưởng đến nhiều chipset bao gồm dòng Snapdragon cũng như nhiều nền tảng âm thanh và modem khác nhau.

Những lỗ hổng trên nếu bị khai thác, có thể cho phép thực thi mã tùy ý hoặc tấn công từ chối dịch vụ (DoS).

Ngoài ra, Qualcomm cũng giải quyết một số lỗ hổng nghiêm trọng cao khác liên quan đến lỗi bộ nhớ và rò rỉ thông tin, chủ yếu ảnh hưởng đến ESL (hệ thống nhãn điện tử Bluetooth Electronic Shelf Labels), firmware WLAN và các sản phẩm trong ngành công nghiệp ô tô.

Hiện tại, hãng cho biết chưa có dấu hiệu khai thác các lỗ hổng trên thực tế đối với hệ thống hay dữ liệu. Người dùng có thể theo dõi danh sách các lỗ hổng được Qualcomm xử lý tại đây.

Theo Security Online​