Qualcomm ha emitido recientemente advertencias sobre tres vulnerabilidades de día cero en sus controladores de GPU y Compute DSP que están siendo explotadas activamente por hackers. Estas advertencias se iniciaron a partir de información recibida de los equipos de Google Threat Analysis Group (TAG) y Project Zero. Según sus informes, se está produciendo una explotación limitada pero dirigida de las vulnerabilidades identificadas como CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 y CVE-2023-33063.
En respuesta a estas amenazas inminentes, Qualcomm ha lanzado actualizaciones de seguridad diseñadas para corregir los problemas presentes en sus controladores Adreno GPU y Compute DSP. La empresa ha comunicado de manera oportuna esta información a los fabricantes de equipos originales (OEMs) afectados, instándoles a implementar estas actualizaciones de seguridad sin demora.
Uno de los fallos significativos, CVE-2022-22071, que fue revelado inicialmente en mayo de 2022, está categorizado como un problema de alta gravedad, con un puntaje CVSS v3.1 de 8.4. Esta vulnerabilidad es un error de use-after-free que puede ser explotado localmente y afecta a chips ampliamente utilizados, incluidos los SD855, SD865 5G y SD888 5G.
Sin embargo, Qualcomm ha optado por no revelar detalles sobre las otras vulnerabilidades explotadas activamente, a saber, CVE-2023-33106, CVE-2022-22071 y CVE-2023-33063. Se espera que se revele más información sobre estas vulnerabilidades en el boletín de seguridad de la empresa programado para diciembre de 2023.
Además de estas, el reciente boletín de seguridad de Qualcomm también arrojó luz sobre otras tres vulnerabilidades críticas, cada una con graves implicaciones:
- CVE-2023-24855 involucra una corrupción de memoria en el componente Modem de Qualcomm. Esto ocurre cuando se procesan configuraciones relacionadas con la seguridad antes del intercambio de seguridad AS y tiene un puntaje CVSS v3.1 de 9.8.
- CVE-2023-28540 está relacionado con un problema criptográfico en el componente Data Modem, que resulta de procesos de autenticación insuficientes durante los apretones de manos TLS, con un puntaje CVSS v3.1 de 9.1.
- CVE-2023-33028 involucra una corrupción de memoria en el firmware WLAN que ocurre durante la copia de memoria de caché pmk sin realizar los controles de tamaño necesarios, y tiene un puntaje CVSS v3.1 de 9.8.
A la luz de estos hallazgos, Qualcomm reveló 13 fallos adicionales de alta gravedad junto con otras tres vulnerabilidades clasificadas como críticas, todas identificadas por los ingenieros de la empresa. En total, Qualcomm ha lanzado actualizaciones para abordar 17 vulnerabilidades en diversos componentes, mientras resalta que tres vulnerabilidades de día cero están siendo explotadas activamente en este momento.
De las vulnerabilidades identificadas, tres han sido clasificadas como críticas, 13 son de alta gravedad y una es de gravedad media. El aviso de Qualcomm señaló: “Hay indicaciones de Google Threat Analysis Group y Google Project Zero de que CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 y CVE-2023-33063 pueden estar bajo explotación limitada y dirigida”.
Para salvaguardarse contra estas vulnerabilidades, se han emitido y están disponibles parches para los problemas en los controladores Adreno GPU y Compute DSP. Los OEMs han sido debidamente notificados y se les ha instado enérgicamente a implementar estos parches de seguridad lo antes posible para evitar una posible explotación.
Se aconseja a los usuarios de productos Qualcomm que estén atentos y apliquen las actualizaciones proporcionadas por los OEMs tan pronto como se liberen para garantizar que sus dispositivos estén protegidos contra estas vulnerabilidades. Este enfoque proactivo de la seguridad de los dispositivos es crucial para mitigar el riesgo de explotación y mantener la integridad y funcionalidad de los dispositivos que desempeñan un papel fundamental en diversas aplicaciones tecnológicas.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad