云南龙网

  1. 首页 > 生活百科 > >

高通发布安全警告:64款芯片存在严重的“零日漏洞”风险!

芯片网络安全5g骁龙高通it芯片

高通发布安全警告:64款芯片存在严重的“零日漏洞”风险!


近日 , 高通公司(Qualcomm)发布安全警告称 , 其多达64款芯片组中的数字信号处理器(DSP)服务中存在一项潜在的严重的“零日漏洞”——CVE-2024-43047 , 且该漏洞已出现有限且有针对性的利用迹象 。
根据高通公告 , CVE-2024-43047源于使用后释放(use-after-free)错误 , 可能导致内存损坏 。 具体而言 , DSP使用未使用的DMA handle FD更新标头缓冲区 。 在put_args部分 , 如果头缓冲区中存在任何DMA handle FD , 则释放相应的映射 。 但是 , 由于标头缓冲区在未签名的PD中暴露给用户 , 因此用户可以更新无效的FD 。 如果此无效FD与任何已在使用中的FD匹配 , 则可能导致释放后使用(UAF)漏洞 , 为攻击者开辟了通往系统内部的通道 。
该漏洞影响范围广泛 , 涉及高通FastConnect、Snapdragon(骁龙)等多个系列共计64款芯片组 , 涵盖了智能手机、汽车、物联网设备等多个领域 , 将影响非常多的品牌厂商 , 比如小米、vivo、OPPO、荣耀等众多的手机品牌厂商都有采用高通骁龙4G/5G移动平台以及相关5G调制解调器-射频系统 , 苹果iPhone 12系列也有采用骁龙 X55 5G 调制解调器-射频系统 。
涉及具体芯片组型号如下:FastConnect 6700、FastConnect 6800、FastConnect 6900、FastConnect 7800、QAM8295P、 QCA6174A、 QCA6391、 QCA6426、QCA6436、QCA6574AU、QCA6584AU、QCA6595、 QCA6595AU、QCA6688AQ、QCA6696、QCA6698AQ、QCS410、QCS610、QCS6490、高通?视频协作 VC1 平台、高通?视频协作 VC3 平台、SA4150P、SA4155P、SA6145P、SA6150P、 SA6155P、SA8145P、SA8150P、SA8155P、SA8195P、SA8295P、SD660、SD865 5G、SG4150P、Snapdragon 660 移动平台、Snapdragon 680 4G 移动平台、骁龙 685 4G 移动平台 (SM6225-AD)、骁龙 8 Gen 1 移动平台、骁龙 865 5G 移动平台、骁龙 865+ 5G 移动平台(SM8250-AB)、骁龙 870 5G 移动平台(SM8250-AC)、骁龙 888 5G 移动平台、骁龙 888+ 5G 移动平台 (SM8350-AC)、骁龙 Auto 5G 调制解调器-RF、骁龙 Auto 5G 调制解调器-RF Gen 2、骁龙 X55 5G 调制解调器-RF系统、骁龙 XR2 5G 平台、SW5100、SW5100P、SXR2130、WCD9335、WCD9341、WCD9370、WCD9375、WCD9380、WCD9385、WCN3950、WCN3980、WCN3988、WCN3990、WSA8810、WSA8815、WSA8830、WSA8835 。
该漏洞由来自谷歌Project Zero的网络安全研究员Seth Jenkins和国际特赦组织安全实验室的Conghui Wang报告 。 Jenkins建议尽快在Android设备上解决该问题 。 谷歌威胁分析小组声称 , CVE-2024-43047可能正受到有限且有针对性的利用 , Wang也证实了存在实际攻击活动 。
目前高通已向 OEM 提供影响 FASTRPC 驱动程序的问题的补丁 , 并强烈建议尽快在受影响的设备上部署更新 。 在问题得到彻底解决之前 , 基于这些芯片的设备都将处于易受攻击的状态 。 由于高通是Android手机以及汽车智能座舱上使用最广泛的芯片厂商之一 , 这也使得这一安全事件的影响范围波及甚广 。
高通表示:“谷歌威胁分析小组有迹象表明 , CVE-2024-43047可能正受到有限且有针对性的利用 。 我们已向原始设备制造商(OEM)提供了针对受影响的FASTRPC驱动程序的补丁 , 并强烈建议尽快在受影响设备上部署更新 。 有关特定设备补丁状态的更多信息 , 请联系您的设备制造商 。 ”
【高通发布安全警告:64款芯片存在严重的“零日漏洞”风险!】编辑:芯智讯-浪客剑

    推荐阅读


    上一篇:讯飞AI会议耳机登上央视《时尚科技秀》 智能创新实力获认可

    下一篇:曝新款iPad Pro出货量大幅下滑,iPhone 15为新机让路价格滑铁卢!