Qualcomm ha lanciato un avvertimento riguardo a tre vulnerabilità zero-day nei suoi driver GPU e Compute DSP che gli hacker stanno attivamente sfruttando in attacchi. La società di semiconduttori americana è stata informata dai team di Google’s Threat Analysis Group (TAG) e Project Zero che le vulnerabilità identificate come CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 e CVE-2023-33063 potrebbero essere oggetto di sfruttamento limitato e mirato.
La società ha dichiarato di aver rilasciato aggiornamenti di sicurezza che affrontano i problemi nei suoi driver Adreno GPU e Compute DSP, e anche gli OEM interessati sono stati notificati. “Le patch per i problemi che riguardano i driver Adreno GPU e Compute DSP sono state rese disponibili e agli OEM è stata inviata una forte raccomandazione di distribuire gli aggiornamenti di sicurezza il prima possibile”, ha affermato Qualcomm. La vulnerabilità CVE-2022-22071, di alta gravità, è stata divulgata nel maggio 2022 ed è un bug di tipo “use after free” che colpisce chip popolari come SD855, SD865 5G e SD888 5G.
Qualcomm non ha fornito dettagli sulle vulnerabilità attivamente sfruttate CVE-2023-33106, CVE-2022-22071 e CVE-2023-33063 e fornirà ulteriori informazioni nel suo bollettino di dicembre 2023.
Il bollettino di sicurezza di questo mese avverte anche di altre tre vulnerabilità critiche, tra cui problemi di corruzione della memoria nel componente Modem di Qualcomm, problemi crittografici nel componente Data Modem e corruzione della memoria nel firmware WLAN.
Oltre a queste, Qualcomm ha divulgato 13 vulnerabilità di alta gravità e altre tre vulnerabilità di criticità scoperte dai suoi ingegneri. Poiché le vulnerabilità CVE-2023-24855, CVE-2023-2854 e CVE-2023-33028 sono tutte sfruttabili da remoto, sono critiche dal punto di vista della sicurezza, ma non ci sono indicazioni che vengano sfruttate.
Sfortunatamente, non c’è molto che i consumatori interessati possano fare oltre ad applicare gli aggiornamenti disponibili non appena questi raggiungono loro attraverso i soliti canali OEM. Le vulnerabilità nei driver di solito richiedono un accesso locale per essere sfruttate, tipicamente ottenuto attraverso infezioni da malware, quindi si raccomanda ai proprietari di dispositivi Android di limitare il numero di app che scaricano e di ottenerle solo da repository affidabili.