Qualcomm a publié des correctifs de sécurité pour une vulnérabilité zero-day dans le service de processeur de signal numérique (DSP) qui affecte des dizaines de chipsets.
La faille de sécurité (CVE-2024-43047) a été signalée par Seth Jenkins de Google Project Zero et Conghui Wang du Laboratoire de sécurité d’Amnesty International, et elle est causée par une faiblesse d’utilisation après libération qui peut entraîner une corruption de la mémoire lorsqu’elle est exploitée avec succès par des attaquants locaux avec de faibles privilèges.
« Actuellement, le DSP met à jour les tampons d’en-tête avec les FD de handle DMA inutilisés. Dans la section put_args, si des FD de handle DMA sont présents dans le tampon d’en-tête, la carte correspondante est libérée », comme expliqué dans un commit du noyau DSP.
« Cependant, étant donné que le tampon d’en-tête est exposé aux utilisateurs dans des PD non signés, les utilisateurs peuvent mettre à jour des FDS invalides. Si ce FD invalide correspond à un FD déjà utilisé, cela pourrait entraîner une vulnérabilité d’utilisation après libération (UAF). »
Comme l’entreprise l’a averti lundi dans un avis de sécurité, des chercheurs en sécurité du Groupe d’analyse des menaces de Google et du Laboratoire de sécurité d’Amnesty International ont qualifié la vulnérabilité d’exploitée à l’état sauvage. Les deux groupes sont connus pour avoir découvert des bugs zero-day exploités dans des attaques de logiciels espions ciblant les appareils mobiles d’individus à haut risque, notamment des journalistes, des politiciens de l’opposition et des dissidents.
« Le Groupe d’analyse des menaces de Google indique que CVE-2024-43047 pourrait faire l’objet d’une exploitation limitée et ciblée », a averti Qualcomm aujourd’hui. « Des correctifs pour le problème affectant le pilote FASTRPC ont été mis à la disposition des OEM avec une recommandation forte de déployer la mise à jour sur les appareils concernés dès que possible. «
Qualcomm a également exhorté les utilisateurs à contacter le fabricant de leur appareil pour plus de détails sur l’état des correctifs de leurs appareils spécifiques.
Aujourd’hui, la société a également corrigé une faille de gravité presque maximale (CVE-2024-33066) dans le gestionnaire de ressources WLAN signalée il y a plus d’un an et causée par une faiblesse de validation d’entrée incorrecte pouvant entraîner une corruption de la mémoire.
En octobre de l’année dernière, Qualcomm a également averti que des attaquants exploitaient trois vulnérabilités zero-day dans ses pilotes GPU et DSP de calcul dans la nature.
Selon les rapports des équipes du Groupe d’analyse des menaces (TAG) et du Projet Zéro de Google, il a été utilisé pour une exploitation limitée et ciblée. Google et Qualcomm n’ont pas encore révélé d’informations supplémentaires sur ces attaques.
Ces dernières années, Qualcomm a également corrigé des vulnérabilités du chipset qui pourraient permettre aux attaquants d’accéder aux fichiers multimédias, aux messages texte, à l’historique des appels et aux conversations en temps réel des utilisateurs.
Qualcomm a également corrigé des failles dans sa puce de processeur de signal numérique (DSP) Snapdragon, permettant aux pirates de contrôler les smartphones sans interaction de l’utilisateur, d’espionner leurs utilisateurs et de créer des logiciels malveillants inamovibles capables d’échapper à la détection.
KrØØk, une autre vulnérabilité corrigée en 2020, a permis aux attaquants de déchiffrer certains paquets de réseau sans fil cryptés par WPA2, tandis qu’un autre bogue désormais corrigé permettait d’accéder à des données critiques.