安全動態(tài)

高通驍龍通告22個安全漏洞,聯(lián)想、微軟和三星設(shè)備受影響

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2023-01-11    瀏覽次數(shù):
 

高通公司 2023 年 1 月的安全公告解決了其驍龍?zhí)准械?22 個軟件漏洞。固件保護(hù)公司Binarly的efiXplorer團(tuán)隊,OPPO琥珀安全實驗室的Zinuo Han,IceSword Lab的Gengjia Chen,研究人員nicolas(nicolas1993),STEALIEN的Seonung Jang和百度安全的Le Wu報告了一些漏洞。

以下是公司解決的最嚴(yán)重漏洞報告:

最嚴(yán)重的缺陷是跟蹤為 CVE-2022-33219 的汽車緩沖區(qū)溢出的整數(shù)溢出(CVSS 得分 9.3)?!捌囍械膬?nèi)存損壞是由于整數(shù)溢出到緩沖區(qū)溢出,同時向共享緩沖區(qū)注冊新偵聽器。

高通公司修復(fù)的另外兩個嚴(yán)重問題是:

  • CVE-2022-33218(CVSS 得分 8.2) – 該漏洞是由于輸入驗證不當(dāng)而導(dǎo)致的汽車內(nèi)存損壞。

  • CVE-2022-33265(CVSS 得分 7.3)– 該漏洞是電力線通信固件中的信息暴露。

這些漏洞影響了使用聯(lián)想,微軟和三星制造的Snapdragon芯片組的筆記本電腦和其他設(shè)備。

聯(lián)想發(fā)布安全更新

1月3日,Lenovo(聯(lián)想)發(fā)布安全更新,修復(fù)了ThinkPad X13s BIOS中的多個安全漏洞,本地用戶可利用這些漏洞導(dǎo)致內(nèi)存損壞或敏感信息泄露。

本次ThinkPad X13s BIOS更新中共修復(fù)了如下漏洞:

CVE-ID 類型 評分 受影響產(chǎn)品/組件 描述
CVE-2022-40516 基于堆棧的緩沖區(qū)溢出導(dǎo)致內(nèi)存損壞 8.4 Qualcomm BIOS 本地用戶可利用這些漏洞導(dǎo)致內(nèi)存損壞、拒絕服務(wù)或任意代碼執(zhí)行。
CVE-2022-40517
CVE-2022-40520
CVE-2022-40518 緩沖區(qū)過度讀取 6.8 Qualcomm BIOS 本地用戶可利用這些漏洞導(dǎo)致信息泄露。
CVE-2022-40519
CVE-2022-4432、CVE-2022-4433、CVE-2022-4434、CVE-2022-4435 緩沖區(qū)過度讀取 None ThinkPad X13s BIOS 本地用戶可利用這些漏洞導(dǎo)致信息泄露。


影響范圍

ThinkPad X13s BIOS 版本<1.47 (N3HET75W)

目前這些漏洞已經(jīng)修復(fù),Lenovo ThinkPad X13s用戶可將BIOS更新到1.47 (N3HET75W)版本。

參考來源:https://securityaffairs.com/140528/security/qualcomm-snapdragon-flaws.html

 
 

上一篇:中國銀保監(jiān)會發(fā)布《銀行保險監(jiān)管統(tǒng)計管理辦法》

下一篇:2023年1月12日聚銘安全速遞