研究人員來自Google零號計劃和國際特赦組織安全實驗室發現了一個漏洞十幾隻跳蚤簽約高通。此次洩漏是由於一段時間內記憶體使用率不佳造成的。
當元件無法正確管理資源(例如記憶體)的釋放時,基礎架構中可能會出現弱點。如果被攻擊者利用,這個弱點可能會導致記憶體損壞。顯然,儲存在記憶體中的資料可以被修改或損壞,這可以為駭客提供發動攻擊的機會。
“如果有問題的記憶體區域已在其他地方正確分配和使用,則使用先前釋放的記憶體可能會損壞有效資料”,總結研究人員他們的報告。
高通晶片的核心缺陷
據發現該缺陷的兩位研究人員稱,該漏洞涉及數位訊號處理器(DSP),一種專門處理數位訊號(例如聲音、影像或視訊)的處理器。 Qualcomm 將其 DSP 整合到許多產品中系統(SoC)有自己的,例如 Snapdragon。它是即時處理訊號和數據的關鍵要素。這就是為什麼該故障危及數十人的原因晶片組高通公司製造。
更準確地說,是飛行員快速RPC(快速遠程過程呼叫)這就是失敗的原因。大規模地該軟體元件用於 Qualcomm 系統,特別是 Snapdragon SoC,允許主處理器 (CPU) 和 DSP (數位訊號處理器)。
漏洞被利用
兩位專家都認為該漏洞已被積極利用由網路犯罪者所為。高通公司在研究人員的提醒下確認,“指示”飛行員的違規行為“可能會受到有限和有針對性的利用”。
為了保護用戶,這家美國公司部署了“修復了影響 FASTRPC 驅動程式的問題”對於製造商來說。他們被邀請參加“盡快將更新部署到受影響的設備”。相關產品的所有使用者仍必須努力使其設備保持最新狀態。儘管高通提出了要求,但所有易受攻擊的晶片可能需要一段時間才能從更新中受益。最終,漏洞風險保持可用許久...
這顯然不是高通第一次被迫修復其電腦晶片中的缺陷。去年,駭客發現並利用了三個漏洞在該集團的幾個晶片的驅動程式中。同樣,漏洞被以多種方式積極利用“有限且有針對性”在高通推出修復程序之前,駭客就發現了這個問題。請注意,這三個缺陷已經被谷歌網路安全部門的零號專案團隊之一發現。
來源 : 高通
