L'équipe Google Threat Intelligence et l'équipe Google Zero Project ont révélé en octobre que de nouvelles vulnérabilités sont apparues dans les puces Qualcomm et ont été exploitées dans la nature. L’exploitation de ces vulnérabilités est limitée et ciblée. De manière générale, les groupes de hackers mènent des attaques ciblées, comme l'espionnage.
On ne sait pas comment les vulnérabilités ont été exploitées et qui était derrière l'attaque, ce que Google a révélé lors de la publication du bulletin de sécurité Android 2023-12 cette semaine.
Désormais, Qualcomm a également annoncé ces vulnérabilités dans des bulletins de sécurité, et les scores CVSS sont très élevés :
La première vulnérabilité est CVE-2023-33063, avec un score CVSS de 7,8, et est décrite comme une corruption de mémoire lors d'un appel à distance de HLOS vers DSP ;
La deuxième vulnérabilité est CVE-2023-33106, avec un score CVSS de 8,4, et est décrite comme provoquant une corruption de la mémoire graphique lors de la soumission d'une grande liste de synchronisation dans la commande AUX à IOCTL_KGSL_GPU_AUX_COMMAND ;
La troisième vulnérabilité est CVE-2023-33107, avec un score CVSS de 8,4. La description concerne la corruption de la mémoire graphique lors de l'allocation d'une zone de mémoire virtuelle partagée lors d'un appel IOCTL.
En plus de ces vulnérabilités, 85 failles ont également été corrigées dans le bulletin de sécurité Android 2023-12. Parmi elles, une vulnérabilité à haut risque dans le composant système est CVE-2023-40088, qui peut conduire à l'exécution de code à distance sans aucune interaction.
Ensuite, des correctifs de vulnérabilité pertinents seront publiés dans AOSP pour que les OEM puissent obtenir puis publier des mises à jour pour les modèles adaptés. Ainsi, le moment où les utilisateurs pourront recevoir les mises à jour dépendra principalement des OEM.