Qualcomm publicó el boletín de seguridad de este mes para sus productos para revelar un total de 12 nuevas vulnerabilidades de seguridad que afectan a múltiples conjuntos de chips, 2 de los cuales han sido calificados como críticos en gravedad.
Se han descubierto dos vulnerabilidades críticas en los conjuntos de chips de Qualcomm que podrían permitir a los hackers comprometer los dispositivos Android de forma remota simplemente enviando paquetes maliciosos. Las vulnerabilidades residen en la WLAN de los conjuntos de chips Qualcomm que alimentan miles de millones de teléfonos inteligentes y tabletas con Android.
Rastreado como CVE-2022-25748 (puntaje CVSS 9.8), la vulnerabilidad se refiere a un problema de ” desbordamiento de enteros a desbordamiento de búfer al analizar marcos GTK ” en el componente WLAN de Qualcomm que podría explotarse para desencadenar daños en la memoria que conducen a la ejecución de código arbitrario.
Todos los dispositivos inteligentes que utilizan Qualcomm Snapdragon APQ, CSRA, IPQ, MDM, MSM, QCA, WSA, WCN, WCD, SW, SM, SDX, SD, SA, QRB, QCS, QCN y más series se ven afectados por la vulnerabilidades.
Rastreado como CVE-2022-25718 (puntuación CVSS 9.1), la vulnerabilidad es un problema ” criptográfico ” debido a una verificación incorrecta del valor de retorno durante el protocolo de autenticación en el componente WLAN de Qualcomm. La vulnerabilidad afecta a los conjuntos de chips Qualcomm de la siguiente manera:
7 vulnerabilidades de alta seguridad (CVE-2022-25660, CVE-2022-25661, CVE-2022-25687, CVE-2022-25719, CVE-2022-25736, CVE-2022-25749 y CVE-2022-33210) afectan KERNEL, Video, Servicio de Red, Firmware WLAN y componente Multimedia.
Los 3 defectos medios en cuestión son:
- CVE-2022-25662: Divulgación de información debido a una desreferencia de puntero no confiable en el kernel
- CVE-2022-25663: Posible desbordamiento del búfer debido a la falta de verificación de la longitud del búfer durante el manejo del marco de administración Rx que conduce a la denegación de servicio
- CVE-2022-25665: Divulgación de información debido a la sobrelectura del búfer en el kernel
CVE-2022-25718, CVE-2022-25748, CVE-2022-25660, CVE-2022-25661, CVE-2022-25687 CVE-2022-25736 CVE-2022-25749 se corrigieron en el parche de seguridad de Android de octubre de 2022. Se recomienda encarecidamente a los usuarios que descarguen las actualizaciones de seguridad de Android más recientes tan pronto como estén disponibles para mantener sus dispositivos Android protegidos contra cualquier posible ataque.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
