Google威脅情報小組以及Google Zero Project團隊已經在10月份透露高通芯片中出現新漏洞并且已經在野外遭到利用,這些漏洞的利用是有限的和有針對性的,一般來說都是黑客集團進行針對性的攻擊,例如間諜行為。

目前還不清楚這些漏洞怎么被武器化以及發起攻擊的幕后黑手是誰,Google本周公布Android 2023-12安全公告的時候透露了這些漏洞。

現在高通也在安全公告里公布了這些漏洞,CVSS評分都非常高:

第一個漏洞是CVE-2023-33063,CVSS評分為7.8分,描述是從HLOS到DSP的遠程調用期間內存損壞;

第二個漏洞是CVE-2023-33106,CVSS評分為8.4分,描述是在向IOCTL_KGSL_GPU_AUX_COMMAND提交AUX命令中的大量同步列表時導致圖形內存損壞;

第三個漏洞是CVE-2023-33107,CVSS評分為8.4分,描述是IOCTL調用期間分配共享虛擬內存區域時,圖形內存損壞;

除了這些漏洞外,Android 2023-12安全公告里還解決了85個缺陷,其中系統組件里有個高危漏洞是CVE-2023-40088,該漏洞可能導致遠程代碼執行而且不需要任何交互。

接下來相關漏洞補丁會發布的AOSP里供OEM獲取然后適配機型發布更新,所以用戶什么時候能收到更新主要取決于OEM了。

Google 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接