高通驍龍通告22個安全漏洞,聯(lián)想、微軟和三星設(shè)備受影響

發(fā)布時間 2023-01-10

高通公司 2023 年 1 月的安全公告解決了其驍龍?zhí)准械?22 個軟件漏洞。固件保護(hù)公司Binarly的efiXplorer團(tuán)隊,OPPO琥珀安全實驗室的Zinuo Han,IceSword Lab的Gengjia Chen,研究人員nicolas(nicolas1993),STEALIEN的Seonung Jang和百度安全的Le Wu報告了一些漏洞。


以下是公司解決的最嚴(yán)重漏洞報告:

報告.jpg


最嚴(yán)重的缺陷是跟蹤為 CVE-2022-33219 的汽車緩沖區(qū)溢出的整數(shù)溢出(CVSS 得分 9.3)?!捌囍械膬?nèi)存損壞是由于整數(shù)溢出到緩沖區(qū)溢出,同時向共享緩沖區(qū)注冊新偵聽器。


高通公司修復(fù)的另外兩個嚴(yán)重問題是:

  • CVE-2022-33218(CVSS 得分 8.2) – 該漏洞是由于輸入驗證不當(dāng)而導(dǎo)致的汽車內(nèi)存損壞。

  • CVE-2022-33265(CVSS 得分 7.3)– 該漏洞是電力線通信固件中的信息暴露。


這些漏洞影響了使用聯(lián)想,微軟和三星制造的Snapdragon芯片組的筆記本電腦和其他設(shè)備。