A Qualcomm lançou atualizações de segurança para solucionar quase uma dúzia de falhas envolvendo recursos proprietários e de código aberto, incluindo uma que foi amplamente explorada.
A vulnerabilidade de alta gravidade, rastreada como CVE-2024-43047 (pontuação CVSS: 7,8), é descrita como um bug pós-liberação no serviço Processador de Sinal Digital (DSP) que pode levar à “corrupção de memória ao economizar memória”. Mapas de memória HLOS.”
A Qualcomm deu crédito ao pesquisador do Google Project Zero, Seth Jenkins-Google Project Zero e Conghui Wang, por relatar o bug, e ao Laboratório de Segurança da Anistia Internacional por verificar o trabalho de campo.
“Há indicações do Grupo de Análise de Ameaças do Google de que CVE-2024-43047 pode estar sujeito a exploração limitada e direcionada”, disse o consultor de chips em um comunicado.
“Patches para o problema que afeta o driver FASTRPC foram disponibilizados aos OEMs e uma forte recomendação para implantar a atualização nos dispositivos afetados o mais rápido possível.”
O alcance total do ataque e o seu impacto ainda não são conhecidos, embora possa ter sido montado como parte de um ataque de spyware contra membros do público.
O patch de outubro também aborda uma falha crítica no WLAN Resource Manager (CVE-2024-33066, pontuação CVSS: 9,8) que é causada pela validação de instalação incorreta e pode causar corrupção de memória.
A atualização ocorre no momento em que o Google lança seu relatório mensal de segurança do Android com 28 correções de segurança, incluindo problemas identificados pela Imagination Technologies, MediaTek e Qualcomm.
