Qualcomm بهروزرسانیهای امنیتی را برای آسیبپذیری روز صفر در سرویس پردازشگر سیگنال دیجیتال (DSP) منتشر کرده است که دهها چیپست را تحت تأثیر قرار میدهد.
نقص امنیتی با شناسه CVE-2024-43047 و امتیاز 7.8 توسط محقق Google Project Zero گزارش شده است و ناشی از نقص use-after-free (UAF) است که در صورت اکسپلویت موفقیتآمیز توسط مهاجمان محلی با دسترسی پایین میتواند منجر به تخریب حافظه شود. از آنجایی که بافر هِدر در PD بدون امضا در معرض دید کاربران قرار میگیرد، کاربران میتوانند FDهای نامعتبر را به روز کنند.
اگر این FD نامعتبر با هر FD که قبلاً در حال استفاده است مطابقت داشته باشد، میتواند منجر به آسیبپذیری use-after-free (UAF) شود. Qualcomm هشدار داد: «شواهدی از گروه تحلیل تهدید Google وجود دارد که نشان میدهد CVE-2024-43047 ممکن است تحت اکسپلویت محدود و هدفمند قرار داشته باشد».
https://www.bleepingcomputer.com/news/security/qualcomm-patches-high-severity-zero-day-exploited-in-attacks/
https://thehackernews.com/2024/10/qualcomm-urges-oems-to-patch-critical.html
