Компания Qualcomm предупредилао трёх уязвимостях нулевого дня в драйверах Adreno GPU и Compute DSP, которые хакеры активно используют в атаках.
Предупреждение последовало после того, как команды Google TAG и Project Zero сообщили Qualcomm о возможной ограниченной и целевой эксплуатации уязвимостей с идентификаторами CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 и CVE-2023-33063. Qualcomm заявила, что выпустила обновления безопасности, устраняющие проблемы в драйверах Adreno GPU и Compute DSP, и проинформировала поставщиков оригинального оборудования (OEM).
Уязвимость CVE-2022-22071 (CVSS: 8.4) была раскрыта в мае 2022 года и эксплуатируется локально после освобождения (Use-After-Free, UAF). Ошибка затрагивает популярные чипы, такие как SD855, SD865 5G и SD888 5G. Компания не предоставила подробности об активно эксплуатируемых уязвимостях CVE-2023-33106, CVE-2022-22071 и CVE-2023-33063, но пообещала предоставить больше информации в своем бюллетене безопасности в декабре 2023 года. Кроме того, Qualcomm раскрыла 13 уязвимостей высокой степени опасности и еще три критические уязвимости, обнаруженные инженерами компании.
К сожалению, потребители могут сделать не так много, кроме как применять доступные обновления, как только они доходят до них через обычные каналы OEM. Обычно уязвимости в драйверах требуют локального доступа для эксплуатации, который обычно достигается через заражение вредоносным ПО, поэтому владельцам устройств Android рекомендуется ограничить количество загружаемых приложений и загружать их только из надежных источников.