El equipo de Google Threat Intelligence y el equipo de Google Zero Project revelaron en octubre que aparecieron nuevas vulnerabilidades en los chips de Qualcomm y que han sido explotadas en estado salvaje. La explotación de estas vulnerabilidades es limitada y selectiva. En general, los grupos de hackers llevan a cabo ataques dirigidos, como el espionaje.
No está claro cómo se utilizaron las vulnerabilidades como arma y quién estuvo detrás del ataque, que Google reveló cuando publicó el boletín de seguridad de Android 2023-12 esta semana.
Ahora Qualcomm también ha anunciado estas vulnerabilidades en boletines de seguridad, y las puntuaciones CVSS son muy altas:
La primera vulnerabilidad es CVE-2023-33063, con una puntuación CVSS de 7,8, y se describe como corrupción de memoria durante una llamada remota de HLOS a DSP;
La segunda vulnerabilidad es CVE-2023-33106, con una puntuación CVSS de 8,4, y se describe como causante de corrupción de la memoria gráfica al enviar una lista de sincronización grande en el comando AUX a IOCTL_KGSL_GPU_AUX_COMMAND;
La tercera vulnerabilidad es CVE-2023-33107, con una puntuación CVSS de 8,4. La descripción es corrupción de la memoria de gráficos al asignar un área de memoria virtual compartida durante una llamada IOCTL.
Además de estas vulnerabilidades, también se abordaron 85 fallas en el boletín de seguridad de Android 2023-12. Entre ellas, una vulnerabilidad de alto riesgo en el componente del sistema es CVE-2023-40088, que puede provocar la ejecución remota de código sin ninguna interacción.
A continuación, se lanzarán parches de vulnerabilidad relevantes en AOSP para que los OEM obtengan y luego publiquen actualizaciones para los modelos adaptados, por lo que cuándo los usuarios pueden recibir actualizaciones depende principalmente de los OEM.