研究人员来自谷歌零号计划和国际特赦组织安全实验室发现了一个漏洞十几只跳蚤签约高通。此次泄露是由于一段时间内内存使用率不佳造成的。
当组件不能正确管理资源(例如内存)的释放时,基础设施中可能会出现弱点。如果被攻击者利用,这个弱点可能会导致内存损坏。显然,存储在内存中的数据可以被修改或损坏,这可以为黑客提供发动攻击的机会。
“如果有问题的内存区域已在其他地方正确分配和使用,则使用先前释放的内存可能会损坏有效数据”,总结研究人员他们的报告。
高通芯片的核心缺陷
据发现该缺陷的两位研究人员称,该漏洞涉及数字信号处理器(DSP),一种专门处理数字信号(例如声音、图像或视频)的处理器。 Qualcomm 将其 DSP 集成到许多产品中片上系统(SoC)有自己的,比如 Snapdragon。它是实时处理信号和数据的关键要素。这就是为什么该故障危及数十人的原因芯片组由高通公司制造。
更准确地说,是飞行员快速RPC(快速远程过程调用)这就是失败的原因。大规模地该软件组件用于 Qualcomm 系统,特别是 Snapdragon SoC,允许主处理器 (CPU) 和 DSP (数字信号处理器)。
漏洞被利用
两位专家都认为该漏洞已被积极利用由网络犯罪分子所为。高通公司在研究人员的提醒下确认,“指示”飞行员的违规行为“可能会受到有限和有针对性的利用”。
为了保护用户,这家美国公司部署了“修复了影响 FASTRPC 驱动程序的问题”对于制造商来说。他们被邀请参加“尽快将更新部署到受影响的设备”。相关产品的所有用户仍必须努力使其设备保持最新状态。尽管高通提出了要求,但所有易受攻击的芯片可能需要一段时间才能从更新中受益。最终,漏洞风险保持可用许久...
这显然不是高通第一次被迫修复其计算机芯片中的缺陷。去年,黑客发现并利用了三个漏洞在该集团的几个芯片的驱动程序中。同样,漏洞被以多种方式积极利用“有限且有针对性”在高通推出修复程序之前,黑客就发现了这一问题。请注意,这三个缺陷已经被谷歌网络安全部门的零号项目团队之一发现。
来源 : 高通