高通公司 2023 年 1 月的安全公告解決了其驍龍?zhí)准械?22 個(gè)軟件漏洞。固件保護(hù)公司Binarly的efiXplorer團(tuán)隊(duì),OPPO琥珀安全實(shí)驗(yàn)室的Zinuo Han,IceSword Lab的Gengjia Chen,研究人員nicolas(nicolas1993),STEALIEN的Seonung Jang和百度安全的Le Wu報(bào)告了一些漏洞。
以下是公司解決的最嚴(yán)重漏洞報(bào)告:
最嚴(yán)重的缺陷是跟蹤為 CVE-2022-33219 的汽車緩沖區(qū)溢出的整數(shù)溢出(CVSS 得分 9.3)?!捌囍械膬?nèi)存損壞是由于整數(shù)溢出到緩沖區(qū)溢出,同時(shí)向共享緩沖區(qū)注冊新偵聽器。
高通公司修復(fù)的另外兩個(gè)嚴(yán)重問題是:
這些漏洞影響了使用聯(lián)想,微軟和三星制造的Snapdragon芯片組的筆記本電腦和其他設(shè)備。
聯(lián)想發(fā)布安全更新
1月3日,Lenovo(聯(lián)想)發(fā)布安全更新,修復(fù)了ThinkPad X13s BIOS中的多個(gè)安全漏洞,本地用戶可利用這些漏洞導(dǎo)致內(nèi)存損壞或敏感信息泄露。
本次ThinkPad X13s BIOS更新中共修復(fù)了如下漏洞:
CVE-ID
|
類型
|
評分
|
受影響產(chǎn)品/組件
|
描述
|
CVE-2022-40516
|
基于堆棧的緩沖區(qū)溢出導(dǎo)致內(nèi)存損壞
|
8.4
|
Qualcomm BIOS
|
本地用戶可利用這些漏洞導(dǎo)致內(nèi)存損壞、拒絕服務(wù)或任意代碼執(zhí)行。
|
CVE-2022-40517
|
CVE-2022-40520
|
CVE-2022-40518
|
緩沖區(qū)過度讀取
|
6.8
|
Qualcomm BIOS
|
本地用戶可利用這些漏洞導(dǎo)致信息泄露。
|
CVE-2022-40519
|
CVE-2022-4432、CVE-2022-4433、CVE-2022-4434、CVE-2022-4435
|
緩沖區(qū)過度讀取
|
None
|
ThinkPad X13s BIOS
|
本地用戶可利用這些漏洞導(dǎo)致信息泄露。
|
影響范圍
ThinkPad X13s BIOS 版本<1.47 (N3HET75W)
目前這些漏洞已經(jīng)修復(fù),Lenovo ThinkPad X13s用戶可將BIOS更新到1.47 (N3HET75W)版本。
參考來源:https://securityaffairs.com/140528/security/qualcomm-snapdragon-flaws.html