ผู้ผลิตชิป Qualcomm ได้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ที่มีความรุนแรงสูง 3 รายการ ที่ระบุว่าอยู่ภายใต้การแสวงหาประโยชน์ และกำหนดเป้าหมายในเดือนตุลาคม 2023 โดยช่องโหว่มีดังนี้
- CVE-2023-33063 (คะแนน CVSS: 7.8) – หน่วยความจำที่เสียหายในบริการ DSP ระหว่างการโทรระยะไกลจาก HLOS ไปยัง DSP
- CVE-2023-33106 (คะแนน CVSS: 8.4) – หน่วยความจำที่เสียหายในขณะที่ส่งรายการซิงค์จำนวนมากในคำสั่ง AUX ไปยังคำสั่ง IOCTL KGSL_GPU_AUX
- CVE-2023-33107 (คะแนน CVSS: 8.4) – หน่วยความจำที่เสียหายใน Linux ขณะกำหนดขอบเขตหน่วยความจำเสมือนที่ใช้ร่วมกันระหว่างการโทร IOCTL
Threat Analysis Group ของ Google และ Google Project Zero เปิดเผยย้อนกลับไปในเดือนตุลาคม 2023 ว่าช่องโหว่ทั้ง 3 รายการ รวมถึง CVE-2022-22071 (คะแนน CVSS: 8.4) ได้ถูกนำไปใช้ประโยชน์อย่างแพร่หลาย โดยเป็นส่วนหนึ่งของการโจมตีแบบกำหนดเป้าหมายที่จำกัด ซึ่งขณะนี้ยังไม่ทราบว่าช่องโหว่เหล่านี้มีใครที่อยู่เบื้องหลังการโจมตี
การพัฒนาดังกล่าวได้กระตุ้นให้หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และความปลอดภัยโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เพิ่มช่องโหว่ทั้ง 4 รายการลงในแค็ตตาล็อกช่องโหว่ที่รู้จัก (KEV) โดยเรียกร้องให้หน่วยงานรัฐบาลกลางใช้แพตช์ภายในวันที่ 26 ธันวาคม 2023 นอกจากนี้ยังเป็นไปตามประกาศของ Google ว่าการอัปเดตความปลอดภัยในเดือนธันวาคม 2023 สำหรับช่องโหว่ของ Android รวมถึงปัญหาร้ายแรงในองค์ประกอบของระบบที่ถูกติดตามในชื่อ CVE-2023-40088 ที่อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกลโดยไม่มีสิทธิ์ดำเนินการเพิ่มเติม และไม่มีการโต้ตอบกับผู้ใช้
คำแนะนำ
- อัพเดทซอฟต์แวร์ และเปิดใช้งานการป้องกันไวรัส
- ใช้งานระบบการรักษาความปลอดภัยที่มีการตรวจสอบแบบอัตโนมัติ
- สร้างรหัสผ่านที่มีความแข็งแรง คาดเดาได้ยาก
- ใช้โปรแกรมแอนตี้ไวรัส (Anti-Virus) และโปรแกรมป้องกันไมโครซอฟท์ที่อัพเดตล่าสุด
- กำหนดสิทธิ์การเข้าถึงไฟล์ และโฟลเดอร์ในระบบ
Ref : https://thehackernews.com/2023/12/qualcomm-releases-details-on-chip.html