0-day в Qualcomm: три уязвимости используются в целевых атаках на Android устройства

Компания Qualcomm , всемирно известный производитель микросхем, опубликовала дополнительную информацию о трех уязвимостях высокой степени критичности в своих продуктах. Баги, о которых стало известно еще в октябре 2023 года, затрагивают графический процессор Adreno и компонент DSP Services в чипсетах Snapdragon. Это позволяет злоумышленникам удаленно выполнить произвольный код на устройстве. Известно, что проблема уже подверглась «ограниченной и целенаправленной эксплуатации».

Речь идет о следующих уязвимостях:

• CVE-2023-33063 (оценка CVSS: 7,8) — возникает при удалённом вызове из операционной системы к DSP. Приводит к переполнению буфера и может быть использована злоумышленником для внедрения вредоносного кода.

• CVE-2023-33106 (оценка CVSS: 8,4) — проявляется в графическом процессоре Adreno, интегрированном в Snapdragon. В графической системе возникает проблема с управлением памятью, когда происходит обработка обширного списка точек синхронизации. Эти данные передаются в рамках специальной вспомогательной команды (AUX command) через интерфейс IOCTL_KGSL_GPU_AUX_COMMAND.

• CVE-2023-33107 (оценка CVSS: 8,4) — похожая проблема в графических драйверах Linux для Adreno. Опять же даёт возможность злоумышленнику обмануть процессор и выполнить любые несанкционированные действия.

В октябре 2023 года группа анализа угроз Google (TAG) и команда Google Project Zero сообщили, что эти три ошибки наряду с CVE-2022-22071 (оценка CVSS: 8,4) были использованы в ограниченных целевых атаках.

За обнаружение дефектов отвечают исследователь Бенуа Севенс и Джанн Хорн из Project Zero, а также исследователь luckyrb и команда Android Security.

Пользователям устройств с чипами Qualcomm настоятельно рекомендуют установить обновления безопасности от производителей при первой же возможности.

Пока точно неизвестно, как именно эксплуатировались эти недостатки и кто стоит за атаками. Тем не менее, Агентство кибербезопасности США (CISA) добавило все 3 бага в свой каталог известных эксплуатируемых уязвимостей (KEV) и призвало федеральные агентства установить патчи к 26 декабря 2023 года.