10 月 9 日消息,当地时间周二,高通为其多种芯片组发布了 20 个安全更新补丁,其中包括一个已被切实利用的 DSP 软件漏洞 ——CVE-2024-43047,其 CVSS 严重性评分为 7.8 分。
该漏洞是由谷歌 Project Zero 团队和国际特赦组织的代码测试人员共同提交的,而且后者表示该漏洞已被黑客或商业软件厂商所利用。
高通在公告中提到:“来自谷歌威胁分析小组的迹象表明,CVE-2024-43047 可能正在受到有限的、有针对性的利用”,“已向 OEM 厂商提供了影响 FASTRPC 驱动程序的补丁,并强烈建议尽快在受影响的设备上部署更新。”
据称,CVE-2024-43047 漏洞主要影响了骁龙 660 及更新的 SoC 型号、5G 调制解调器以及 FastConnect 6700、6800、6900 和 7800 这四款 Wi-Fi 蓝牙套件。
在其他 19 个漏洞中,最严重的一个是 CVSS 得分 9.8 的 CVE-2024-33066。幸运的是,到目前为止还没有发现该漏洞被人利用的迹象。
注意到,高通公布的这批漏洞中有多个发现者与华人有关,例如 CVE-2024-43047、CVE-2024-23376、CVE-2024-23379 都涉及到一位名叫王聪慧(conghuiwang)的研究员,而 CVE-2024-23374 则是由百度 AIoT 安全团队成员马超(Chao Ma)所报告,另一个 CVE-2024-23375 似乎是由一位名叫韩子诺(Zinuo Han)的人所发现。
最新评论