Das Google Threat Intelligence Team und das Google Zero Project Team gaben im Oktober bekannt, dass neue Schwachstellen in Qualcomm-Chips aufgetaucht sind und in freier Wildbahn ausgenutzt wurden. Die Ausnutzung dieser Schwachstellen ist begrenzt und gezielt. Im Allgemeinen führen Hackergruppen gezielte Angriffe durch, beispielsweise Spionage.
Es ist unklar, wie die Schwachstellen als Waffe genutzt wurden und wer hinter dem Angriff steckte, was Google bei der Veröffentlichung des Sicherheitsbulletins für Android 2023-12 diese Woche enthüllte.
Jetzt hat Qualcomm diese Schwachstellen auch in Sicherheitsbulletins bekannt gegeben, und die CVSS-Werte sind sehr hoch:
Die erste Schwachstelle ist CVE-2023-33063 mit einem CVSS-Score von 7,8 und wird als Speicherbeschädigung während eines Remote-Aufrufs von HLOS an DSP beschrieben;
Die zweite Schwachstelle ist CVE-2023-33106 mit einem CVSS-Score von 8,4 und soll eine Beschädigung des Grafikspeichers verursachen, wenn eine große Synchronisierungsliste im AUX-Befehl an IOCTL_KGSL_GPU_AUX_COMMAND übermittelt wird;
Die dritte Schwachstelle ist CVE-2023-33107 mit einem CVSS-Score von 8,4. Die Beschreibung betrifft eine Beschädigung des Grafikspeichers bei der Zuweisung eines gemeinsam genutzten virtuellen Speicherbereichs während eines IOCTL-Aufrufs.
Zusätzlich zu diesen Schwachstellen wurden im Sicherheitsbulletin für Android 2023-12 auch 85 Schwachstellen behoben. Unter ihnen ist CVE-2023-40088 eine Schwachstelle mit hohem Risiko in der Systemkomponente, die zur Remote-Codeausführung ohne jegliche Interaktion führen kann.
Als nächstes werden relevante Schwachstellen-Patches in AOSP veröffentlicht, damit OEMs Updates für angepasste Modelle erhalten und dann veröffentlichen können. Wann Benutzer Updates erhalten können, hängt also hauptsächlich von den OEMs ab.