高通驍龍通告22個(gè)安全漏洞,聯(lián)想、微軟和三星設(shè)備受影響

發(fā)布時(shí)間 2023-01-10

高通公司 2023 年 1 月的安全公告解決了其驍龍?zhí)准械?22 個(gè)軟件漏洞。固件保護(hù)公司Binarly的efiXplorer團(tuán)隊(duì),OPPO琥珀安全實(shí)驗(yàn)室的Zinuo Han,IceSword Lab的Gengjia Chen,研究人員nicolas(nicolas1993),STEALIEN的Seonung Jang和百度安全的Le Wu報(bào)告了一些漏洞。


以下是公司解決的最嚴(yán)重漏洞報(bào)告:

報(bào)告.jpg


最嚴(yán)重的缺陷是跟蹤為 CVE-2022-33219 的汽車(chē)緩沖區(qū)溢出的整數(shù)溢出(CVSS 得分 9.3)?!捌?chē)中的內(nèi)存損壞是由于整數(shù)溢出到緩沖區(qū)溢出,同時(shí)向共享緩沖區(qū)注冊(cè)新偵聽(tīng)器。


高通公司修復(fù)的另外兩個(gè)嚴(yán)重問(wèn)題是:

  • CVE-2022-33218(CVSS 得分 8.2) – 該漏洞是由于輸入驗(yàn)證不當(dāng)而導(dǎo)致的汽車(chē)內(nèi)存損壞。

  • CVE-2022-33265(CVSS 得分 7.3)– 該漏洞是電力線通信固件中的信息暴露。


這些漏洞影響了使用聯(lián)想,微軟和三星制造的Snapdragon芯片組的筆記本電腦和其他設(shè)備。