Qualcomm risolve zero-day critico sfruttato negli attacchi

Qualcomm ha rilasciato patch per una vulnerabilità zero-day nel servizio Digital Signal Processor (DSP) che ha un impatto su decine di chipset. La falla (CVE-2024-43047) è stata segnalata da Seth Jenkins di Google Project Zero e Conghui Wang di Amnesty International Security Lab. Questa è causata da una debolezza use-after-free che può portare alla corruzione della memoria se sfruttata con successo da aggressori locali con privilegi bassi. Come spiegato in un commit del kernel DSP: "Attualmente, il DSP aggiorna i buffer di intestazione con fd di handle DMA inutilizzati. Nella sezione put_args, se sono presenti FD di handle DMA nel buffer di intestazione, la mappa corrispondente viene liberata. Tuttavia, poiché il buffer di intestazione è esposto agli utenti in PD non firmato, gli utenti possono aggiornare FD non validi. Se questo FD non valido corrisponde a un FD già in uso, potrebbe portare a una vulnerabilità use-after-free (UAF)".

I ricercatori di sicurezza del Threat Analysis Group di Google e dell'Amnesty International Security Lab hanno etichettato la vulnerabilità come sfruttata in natura. Entrambi i gruppi sono noti per aver scoperto bug zero-day sfruttati in attacchi spyware che prendono di mira i dispositivi mobili di individui ad alto rischio, tra cui giornalisti, politici dell'opposizione e dissidenti. Come dichiarato da Qualcomm: "Ci sono indicazioni da parte di Google Threat Analysis Group che CVE-2024-43047 potrebbe essere sotto sfruttamento limitato e mirato. Le patch per il problema che riguarda il driver FASTRPC sono state rese disponibili agli OEM insieme a una forte raccomandazione di distribuire l'aggiornamento sui dispositivi interessati il ​​prima possibile". Qualcomm ha inoltre esortato gli utenti a contattare il produttore del dispositivo per maggiori dettagli sullo stato delle patch dei loro dispositivi specifici.

Qualcomm: le altre vulnerabilità critiche corrette dall’azienda

Nelle scorse ore, l'azienda ha anche corretto un difetto di gravità quasi massima (CVE-2024-33066) nel WLAN Resource Manager. Questo era stato segnalato un anno fa ed è causato da una debolezza di convalida dell'input non corretta che potrebbe portare alla corruzione della memoria. A ottobre dell'anno scorso, Qualcomm ha anche avvisato che gli aggressori stavano sfruttando tre vulnerabilità zero-day nei suoi driver GPU e Compute DSP in natura. Secondo i report del Threat Analysis Group (TAG) di Google e dei team di Project Zero, questi sono stati stati utilizzati per uno sfruttamento limitato e mirato. Google e Qualcomm devono ancora rivelare ulteriori informazioni su questi attacchi. Negli ultimi anni, Qualcomm ha anche corretto le vulnerabilità del chipset che potrebbero consentire agli aggressori di accedere ai file multimediali, ai messaggi di testo, alla cronologia delle chiamate e alle conversazioni in tempo reale degli utenti.

Qualcomm ha anche corretto i difetti nel suo chip Snapdragon Digital Signal Processor (DSP). Tali bug permettevano agli hacker di controllare gli smartphone senza l'interazione dell'utente, spiare i propri utenti e creare malware non rimovibili in grado di eludere il rilevamento. KrØØk, un'altra vulnerabilità corretta nel 2020, ha consentito agli aggressori di decriptare alcuni pacchetti di rete wireless crittografati WPA2. Infine, un altro bug ora corretto ha consentito agli hacker l'accesso a dati critici.