A equipe de inteligência de ameaças do Google e a equipe do Google Zero Project revelaram em outubro que novas vulnerabilidades apareceram em chips Qualcomm e foram exploradas em liberdade. A exploração destas vulnerabilidades é limitada e direcionada. De modo geral, grupos de hackers realizam ataques direcionados, como espionagem.
Não está claro como as vulnerabilidades foram transformadas em armas e quem estava por trás do ataque, que o Google revelou quando lançou o boletim de segurança do Android 2023-12 esta semana.
Agora, a Qualcomm também anunciou essas vulnerabilidades em boletins de segurança, e as pontuações do CVSS são muito altas:
A primeira vulnerabilidade é CVE-2023-33063, com pontuação CVSS de 7,8, e é descrita como corrupção de memória durante uma chamada remota de HLOS para DSP;
A segunda vulnerabilidade é CVE-2023-33106, com pontuação CVSS de 8,4, e é descrita como causando corrupção de memória gráfica ao enviar uma grande lista de sincronização no comando AUX para IOCTL_KGSL_GPU_AUX_COMMAND;
A terceira vulnerabilidade é CVE-2023-33107, com pontuação CVSS de 8,4. A descrição é corrupção de memória gráfica ao alocar uma área de memória virtual compartilhada durante uma chamada IOCTL.
Além dessas vulnerabilidades, 85 falhas também foram abordadas no boletim de segurança do Android 2023-12. Entre eles, uma vulnerabilidade de alto risco no componente do sistema é a CVE-2023-40088, que pode levar à execução remota de código sem qualquer interação.
Em seguida, patches de vulnerabilidade relevantes serão lançados no AOSP para que os OEMs obtenham e, em seguida, liberem atualizações para modelos adaptados, de modo que o momento em que os usuários possam receber atualizações dependa principalmente dos OEMs.