芯片制造商高通公司公开了有关 3 个高危安全漏洞的更多信息,称这些漏洞早在 2023 年 10 月就受到了有针对性的利用。
该3个安全漏洞如下:
- CVE-2023-33063(CVSS 评分:7.8)- 从 HLOS 到 DSP 的远程调用期间 DSP 服务中的内存损坏。
- CVE-2023-33106(CVSS 评分:8.4)- 在向 IOCTL_KGSL_GPU_AUX_COMMAND 提交 AUX 命令中的大量同步点列表时,图形内存损坏。
- CVE-2023-33107(CVSS 评分:8.4)- 在 IOCTL 调用期间分配共享虚拟内存区域时,Graphics Linux 中的内存损坏。
谷歌的威胁分析小组和谷歌零号项目早在 2023 年 10 月就透露,这3个漏洞以及CVE-2022-22071(CVSS 评分:8.4)已作为有针对性的攻击的一部分在野被利用。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,目前尚不清楚这些漏洞是如何被武器化的,以及谁是攻击的幕后黑手。
然而,这一进展促使美国网络安全和基础设施安全局 (CISA) 将这4个漏洞添加到其已知利用漏洞 ( KEV ) 目录中,敦促联邦机构在 2023 年 12 月 26 日之前应用这些补丁。
极牛网精选文章《高通公开3个高危漏洞信息,此前已在针对性攻击中被在野利用》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/26697.html