Qualcomm, GPU ve Compute DSP sürücülerinde, bilgisayar korsanlarının saldırılarda aktif olarak yararlandığı üç zero day (sıfırıncı gün) güvenlik açığı konusunda uyarıda bulundu.
Google’ın Tehdit Analiz Grubu (TAG) ve Project Zero ekipleri Amerikan yarı iletken şirketine CVE-2023-33106, CVE-2023-33107 , CVE-2022-22071 ve CVE-2023-33063’ün sınırlı, hedefli istismar altında olabileceği söylendi.
Qualcomm, Adreno GPU ve Compute DSP sürücülerindeki sorunları gideren güvenlik güncellemeleri yayınladığını ve etkilenen OEM’lerin de bilgilendirildiğini söyledi.
CVE-2022-22071 kusuru Mayıs 2022’de açıklandı ve SD855, SD865 5G ve SD888 5G gibi popüler çipleri etkileyen ücretsiz hatanın ardından yüksek önem derecesine sahip (CVSS v3.1: 8.4) yerel olarak istismar edilebilir.
Qualcomm, aktif olarak yararlanılan CVE-2023-33106, CVE-2022-22071 ve CVE-2023-33063 kusurları hakkında herhangi bir ayrıntı yayınlamadı ve Aralık 2023 bülteninde daha fazla bilgi sunacağını bildirdi.
Bu ayın güvenlik bülteni ayrıca diğer üç kritik güvenlik açığı konusunda da uyarıda bulunuyor:
- CVE-2023-24855 : AS Güvenlik Değişiminden önce güvenlikle ilgili yapılandırmalar işlenirken Qualcomm’un Modem bileşeninde bellek bozulması meydana geliyor. (CVSS v3.1: 9.8)
- CVE-2023-28540 : Veri Modemi bileşeninde, TLS anlaşması sırasında hatalı kimlik doğrulamasından kaynaklanan şifreleme sorunu. (CVSS v3.1: 9.1)
- CVE-2023-33028 : Boyut kontrolleri yapılmadan pmk önbellek kopyalanırken WLAN belleniminde bellek bozulması meydana geliyor. (CVSS v3.1: 9.8)
Yukarıdakilerin yanı sıra Qualcomm, mühendisleri tarafından keşfedilen 13 yüksek önem dereceli kusuru ve diğer üç kritik önem taşıyan güvenlik açığını da açıkladı.
CVE-2023-24855, CVE-2023-2854 ve CVE-2023-33028 kusurlarının tümü uzaktan istismar edilebilir olduğundan, güvenlik açısından kritik öneme sahipler ancak istismar edildiklerine dair şuan için hiçbir belirti yok.
Ne yazık ki, etkilenen tüketicilerin, mevcut güncellemeleri normal OEM kanalları aracılığıyla ulaşır ulaşmaz uygulamaktan başka yapabileceği pek bir şey yok.
Sürücülerdeki kusurlar, genellikle kötü amaçlı yazılım bulaşmasıyla elde edilen yerel erişim gerektiriyor; bu nedenle, Android cihaz sahiplerinin indirdikleri uygulama sayısını sınırlamaları ve bunları yalnızca güvenilir depolardan almaları öneriliyor.
Dün Arm, aktif olarak istismar edilen bir kusur hakkında benzer bir güvenlik tavsiyesi uyarısı yayınladı (CVE-2023-4211, Google’ın Tehdit Analiz Grubu (TAG) ve Project Zero tarafından keşfedildi ve bu açık çok çeşitli Mali GPU sürücülerini etkiliyor).