高通公开3个高危漏洞信息，此前已在针对性攻击中被在野利用

芯片制造商高通公司公开了有关 3 个高危安全漏洞的更多信息，称这些漏洞早在 2023 年 10 月就受到了有针对性的利用。

该3个安全漏洞如下：

• CVE-2023-33063（CVSS 评分：7.8）- 从 HLOS 到 DSP 的远程调用期间 DSP 服务中的内存损坏。
• CVE-2023-33106（CVSS 评分：8.4）- 在向 IOCTL_KGSL_GPU_AUX_COMMAND 提交 AUX 命令中的大量同步点列表时，图形内存损坏。
• CVE-2023-33107（CVSS 评分：8.4）- 在 IOCTL 调用期间分配共享虚拟内存区域时，Graphics Linux 中的内存损坏。

谷歌的威胁分析小组和谷歌零号项目早在 2023 年 10 月就透露，这3个漏洞以及CVE-2022-22071（CVSS 评分：8.4）已作为有针对性的攻击的一部分在野被利用。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，目前尚不清楚这些漏洞是如何被武器化的，以及谁是攻击的幕后黑手。

然而，这一进展促使美国网络安全和基础设施安全局 (CISA) 将这4个漏洞添加到其已知利用漏洞 ( KEV ) 目录中，敦促联邦机构在 2023 年 12 月 26 日之前应用这些补丁。