Никто не знает, сколько устройств могло быть скомпрометировано в результате действий преступников.
Qualcomm выпустила обновления безопасности для устранения почти двух десятков уязвимостей, охватывающих как проприетарные, так и открытые компоненты. Среди них выделяется одна уязвимость, активно используемая в реальных атаках.
Эта критическая уязвимость, зарегистрированная как CVE-2024-43047 с оценкой CVSS 7.8, связана с ошибкой использования освобождённой памяти (Use-After-Free) в сервисе цифрового сигнального процессора (DSP). Она может привести к повреждению памяти при сохранении карт памяти HLOS.
Сообщение о проблеме поступило от исследователей из Google Project Zero Сета Дженкинса и Конгуи Вана, а лаборатория безопасности Amnesty International подтвердила её активную эксплуатацию.
Qualcomm отметила в своём уведомлении, что по данным Google Threat Analysis Group эта уязвимость может использоваться для целевых атак. Чипмейкер также настоятельно рекомендовал OEM-производителям выпустить обновления для устройств, затронутых этой проблемой, особенно для драйвера FASTRPC.
Пока неизвестно, насколько широко были распространены эти атаки, но существует вероятность, что уязвимость могла использоваться для шпионских атак против представителей гражданского общества.
Кроме того, октябрьское обновление устраняет критическую уязвимость в WLAN Resource Manager ( CVE-2024-33066 ), которая получила оценку CVSS 9,8. Проблема вызвана неправильной проверкой ввода и также может привести к повреждению памяти.
Обновления Qualcomm были выпущены параллельно с ежемесячным бюллетенем безопасности Android от Google, в котором исправлены 28 уязвимостей, включая проблемы в компонентах Imagination Technologies, MediaTek и Qualcomm.
