Google威脅情報小組以及GoogleZeroProject團隊已經在10月份透露高通芯片中出現新漏洞並且已經在野外遭到利用,這些漏洞的利用是有限的和有針對性的,一般來說都是黑客集團進行針對性的攻擊,例如間諜行為。
目前還不清楚這些漏洞怎麼被武器化以及發起攻擊的幕後黑手是誰,Google本周公佈 Android 2023-12 安全公告的時候透露這些漏洞。
現在高通也在安全公告裡公佈這些漏洞,CVSS 評分都非常高:
第一個漏洞是 CVE-2023-33063,CVSS 評分為 7.8 分,描述是從 HLOS 到 DSP 的遠程調用期間內存損壞;
第二個漏洞是 CVE-2023-33106,CVSS 評分為 8.4 分,描述是在向 IOCTL_KGSL_GPU_AUX_COMMAND 提交 AUX 命令中的大量同步列表時導致圖形內存損壞;
第三個漏洞是 CVE-2023-33107,CVSS 評分為 8.4 分,描述是 IOCTL 調用期間分配共享虛擬內存區域時,圖形內存損壞
除這些漏洞外,Android 2023-12 安全公告裡還解決 85 個缺陷,其中系統組件裡有個高危漏洞是 CVE-2023-40088,該漏洞可能導致遠程代碼執行而且不需要任何交互。
接下來相關漏洞補丁會發佈的 AOSP 裡供 OEM 獲取然後適配機型發佈更新,所以用戶什麼時候能收到更新主要取決於 OEM 。
