高通芯片组发布安全更新，其中包括3个在野利用的零日漏洞

最近的网络安全观察中，芯片制造商高通公司发布安全更新，以解决各个组件中的 17 个安全漏洞，同时警告称，其他 3 个零日漏洞已在野被积极利用。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，在 17 个漏洞中，3 个漏洞的严重程度被评为“严重”，13 个漏洞的严重程度被评为“高”，1 个漏洞的严重程度被评为“中等”。

安全研究人员表示，CVE-2023-33106、CVE-2023-33107、CVE-2022-22071 和 CVE-2023-33063 可能受到有限的、有针对性的利用。针对影响 Adreno GPU 和计算 DSP 驱动程序的问题的补丁已经发布，并且 OEM 已收到强烈建议，要求尽快部署安全更新。

CVE-2022-22071（CVSS 评分：8.4）被描述为汽车操作系统平台中的释放后利用漏洞，最初由该公司作为其 2022 年 5 月更新的一部分进行修补。

虽然有关其余 3 个漏洞的更多细节预计将于 2023 年 12 月公开，但这一披露是在 Arm 发布针对 Mali GPU 内核驱动程序 ( CVE-2023-4211 ) 安全漏洞的补丁的同一天进行的，该漏洞也受到了有限的限制。

高通 2023 年 10 月的更新还解决了 3 个关键漏洞：

• CVE-2023-24855（CVSS 评分：9.8）- 在 AS Security Exchange 之前处理安全相关配置时调制解调器内存损坏。
• CVE-2023-28540（CVSS 评分：9.1）- 由于 TLS 握手期间身份验证不正确，导致数据调制解调器出现加密问题。
• CVE-2023-33028（CVSS 评分：9.8）- 在执行 pmk 缓存的内存复制时，WLAN 固件中出现内存损坏。

建议用户在原始设备制造商 (OEM) 提供的更新可用后立即安装更新补丁包。