高通芯片组曝多个安全漏洞，可造成缓冲区溢出导致数据泄露

近日，高通发布了一个安全补丁，以解决其芯片组中的多个安全漏洞，其中一些漏洞可能被利用导致信息泄露和内存损坏。

高通芯片组主要涉及 5 个安全漏洞，漏洞号从 CVE-2022-40516 到 CVE-2022-40520，这些漏洞也影响了联想 ThinkPad X13s 笔记本电脑。

漏洞清单如下：

• CVE-2022-40516、CVE-2022-40517 和 CVE-2022-40520（CVSS 评分：8.4）- 由于基于堆栈的缓冲区溢出导致核心内存损坏。
• CVE-2022-40518 和 CVE-2022-40519（CVSS 评分：6.8）- Core中缓冲区过度读取导致的信息泄露。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，基于堆栈的缓冲区溢出漏洞可能会导致严重的影响，例如数据损坏、系统崩溃和任意代码执行。另一方面，缓冲区过度读取可以被武器化以读取越界内存，从而导致秘密数据暴露。

联想在发布的安全警报中指出，成功利用上述漏洞可能会让拥有更高权限的本地攻击者导致内存损坏或泄露敏感信息。

联想还修复了 ThinkPad X13 BIOS 中另外 4 个可能导致信息泄露的缓冲区过度读取漏洞。这些漏洞号为 CVE-2022-4432、CVE-2022-4433、CVE-2022-4434 和 CVE-2022-4435。

建议 ThinkPad X13 笔记本用户尽快将 BIOS 更新至版本 1.47 (N3HET75W) 或更新版本。