WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Qualcomm vá nhiều lỗi nghiêm trọng trong các dòng chip phổ biến
Nhà sản xuất chip lớn nhất của Mỹ Qualcomm đã phát hành bản cập nhật an ninh tháng 3, vá tổng 16 lỗ hổng bao gồm 2 lỗi nghiêm trọng CVE-2023-28578 và CVE-2023-28582 khiến hàng tỷ thiết bị đứng trước nguy cơ bị tấn công.
Hai lỗ hổng có thể dẫn đến hỏng bộ nhớ và nguy cơ bị tấn công và ảnh hưởng đến nhiều smartphone, các thiết bị IoT và các hệ thống tự động.
CVE-2023-28578 tồn tại trong dịch vụ Core Services của Qualcomm, có thể bị khai thác làm hỏng bộ nhớ trong quá trình thực thi các lệnh, làm bàn đạp để tiến hành các cuộc tấn công khác vào các thiết bị sử dụng chip có lỗ hổng. Phạm vi ảnh hưởng khá rộng từ các dòng modem IoT 315 5G đến nền tảng Snapdragon XR2+ Gen 1.
CVE-2023-28582 được đánh giá ở mức nghiêm trọng tồn tại trong Data Modem của Qualcomm. Kẻ tấn công có thể làm hỏng bộ nhớ trong quá trình các thiết bị thực hiện giao tiếp bảo mật, dẫn đến thực thi mã độc hại và kiểm soát thiết bị. Lỗ hổng ảnh hưởng đến nhiều dòng chip bao gồm Snapdragon 8 Gen và các mẫu FastConnect.
Theo các chuyên gia đánh giá ảnh hưởng của những lỗ hổng này là rất lớn vì chip Qualcomm hiện diện trên khoảng 40% smartphone trên toàn cầu, bao gồm các thiết bị cao cấp từ Samsung, Google, Xiaomi và nhiều hãng khác.
Ngoài các lỗ hổng nghiêm trọng này, bản thông báo của Qualcomm cũng đề cập đến 12 lỗ hổng có mức độ nguy hiểm cao và hai lỗ hổng có mức độ nguy hiểm trung bình. Những lỗ hổng này liên quan đến các thành phần khác nhau như bộ xử lý cuộc gọi đa chế độ, modem, Bluetooth HOST và firmware WLAN, và có thể dẫn đến thực thi mã tùy ý hoặc tấn công từ chối dịch vụ (DoS), gây nguy hiểm đến tính ổn định hệ thống và quyền riêng tư của người dùng.
Qualcomm đã thông báo về các lỗ hổng đến các nhà sản xuất thiết bị gốc (OEM) của mình nhưng việc phân phối các bản cập nhật này đến người dùng cuối lại là vấn đề thời gian.
CVE-2023-28578 tồn tại trong dịch vụ Core Services của Qualcomm, có thể bị khai thác làm hỏng bộ nhớ trong quá trình thực thi các lệnh, làm bàn đạp để tiến hành các cuộc tấn công khác vào các thiết bị sử dụng chip có lỗ hổng. Phạm vi ảnh hưởng khá rộng từ các dòng modem IoT 315 5G đến nền tảng Snapdragon XR2+ Gen 1.
CVE-2023-28582 được đánh giá ở mức nghiêm trọng tồn tại trong Data Modem của Qualcomm. Kẻ tấn công có thể làm hỏng bộ nhớ trong quá trình các thiết bị thực hiện giao tiếp bảo mật, dẫn đến thực thi mã độc hại và kiểm soát thiết bị. Lỗ hổng ảnh hưởng đến nhiều dòng chip bao gồm Snapdragon 8 Gen và các mẫu FastConnect.
Theo các chuyên gia đánh giá ảnh hưởng của những lỗ hổng này là rất lớn vì chip Qualcomm hiện diện trên khoảng 40% smartphone trên toàn cầu, bao gồm các thiết bị cao cấp từ Samsung, Google, Xiaomi và nhiều hãng khác.
Ngoài các lỗ hổng nghiêm trọng này, bản thông báo của Qualcomm cũng đề cập đến 12 lỗ hổng có mức độ nguy hiểm cao và hai lỗ hổng có mức độ nguy hiểm trung bình. Những lỗ hổng này liên quan đến các thành phần khác nhau như bộ xử lý cuộc gọi đa chế độ, modem, Bluetooth HOST và firmware WLAN, và có thể dẫn đến thực thi mã tùy ý hoặc tấn công từ chối dịch vụ (DoS), gây nguy hiểm đến tính ổn định hệ thống và quyền riêng tư của người dùng.
Qualcomm đã thông báo về các lỗ hổng đến các nhà sản xuất thiết bị gốc (OEM) của mình nhưng việc phân phối các bản cập nhật này đến người dùng cuối lại là vấn đề thời gian.
Theo Security Online