꿈을꾸는 파랑새

Qualcomm(퀄컴) 해커들이 GPU,DSP 드라이버에서 3개의 제로데이 의 세 가지 제로데이 취약점에 대해 경고를 했습니다.
Google의 TAG(위협 분석 그룹) 및 Project Zero 팀으로부터 CVE-2023-33106,   CVE-2023-33107 , CVE-2022-22071 및 CVE-2023-33063 이 제한적이고 표적화된 공격 확인
Qualcomm(퀄컴)
Adreno GPU 및 Compute DSP 드라이버의 문제를 해결하는 보안 업데이트를 출시했으며 영향을 받는 OEM에도 통보
CVE-2022-22071 결함은 2022년 5월에 공개되었으며 SD855,SD865 5G 및 SD888과 같은 인기 칩에 영향을 미치는 무료 버그 이후 로컬에서 악용 가능한 높은 심각도(CVSS v3.1: 8.4)
Qualcomm은 활발하게 악용되는 CVE-2023-33106, CVE-2022-22071 및 CVE-2023-33063 결함에 대한 세부 정보를 공개하지 않았으며 2023년 12월 공지에서 자세한 정보를 제공할 예정
세 가지 다른 심각한 취약점에 대해서도 경고
CVE-2023-24855 :AS Security Exchange 이전에 보안 관련 구성을 처리할 때 Qualcomm 모뎀 구성 요소의 메모리 손상이 발생(CVSS v3.1: 9.8)
CVE-2023-28540:TLS 핸드셰이크 중 부적절한 인증으로 말미암아 발생하는 데이터 모뎀 구성 요소의 암호화 문제(CVSS v3.1: 9.1)
CVE-2023-33028 :크기 확인을 수행하지 않고 pmk 캐시 메모리를 복사하는 동안 WLAN 펌웨어의 메모리 손상이 발생(CVSS v3.1: 9.8)

갤럭시 S23 울트라 사진:Unsplash의Zana Latif
갤럭시 S23 울트라 사진:Unsplash의Zana Latif

그리고 퀄컴 엔지니어들이 발견한 심각도가 높은 취약점 13개와 심각도가 높은 취약점 3개를 공개
CVE-2023-24855,CVE-2023-2854,CVE-2023-33028 결함은 모두 원격 으로 악용 가능하므로 보안 관점에서 중요하지만 악용되었다는 징후는 없음
일반 OEM 채널을 통해 업데이트 가 제공되는 즉시 사용 가능한 업데이트를 적용하는 것 외에 소비자가 할 수 있는 일은 많지 않음
드라이버의 결함은 일반적으로 악성코드 감염을 통해 악용하기 위해 로컬 액세스 가 필요하므로 안드로이드 장치 소유자는 다운로드 하는 앱 수를 제한하고 신뢰할 수 있는 저장소에서만 앱을 소싱하는 것이 좋음
광범위한 Mali GPU 드라이버에 영향을 미치는 적극적으로 악용되는 결함(CVE-2023-4211)에 대해 Google의 위협 분석 그룹(TAG)과 Project Zero에서 발견하고 보고한 유사한 보안 권고를 발표

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band