A Qualcomm lançou atualizações de segurança para solucionar quase duas dúzias de falhas que abrangem componentes proprietários e de código aberto, incluindo um que está sob exploração ativa em estado selvagem.
A vulnerabilidade de alta gravidade, rastreada como CVE-2024-43047 (pontuação CVSS: 7,8), foi descrita como um bug do usuário após a liberação no serviço Processador de Sinal Digital (DSP) que pode levar à “corrupção de memória enquanto mantém a memória mapas de memória HLOS.”
A Qualcomm deu crédito ao pesquisador do Google Challenge Zero, Seth Jenkins e Conghui Wang, por relatar a falha, e ao Laboratório de Segurança da Amnistia Internacional por confirmar a atividade em estado selvagem.
“Há indicações do Google Risk Evaluation Group de que CVE-2024-43047 pode estar sob exploração limitada e direcionada”, disse a fabricante de chips em um comunicado.
“Patches para o problema que afeta o driver FASTRPC foram disponibilizados aos OEMs, juntamente com uma forte recomendação para implantar a atualização nos dispositivos afetados o mais rápido possível.”
O alcance complete dos ataques e o seu impacto são atualmente desconhecidos, embora seja possível que tenham sido utilizados como arma como parte de ataques de spyware and adware contra membros da sociedade civil.
O patch de outubro também aborda uma falha crítica no WLAN Useful resource Supervisor (CVE-2024-33066, pontuação CVSS: 9,8) que é causada por uma validação de entrada inadequada e pode resultar em corrupção de memória.
O desenvolvimento ocorre no momento em que o Google lança seu próprio boletim mensal de segurança do Android com correções para 28 vulnerabilidades, que também incluem problemas identificados em componentes da Creativeness Applied sciences, MediaTek e Qualcomm.