A Qualcomm, fabricante de chips, divulgou informações adicionais sobre três falhas de segurança de alta gravidade que foram alvo de “exploração limitada e direcionada” em outubro de 2023. As três falhas de segurança de alta gravidade divulgadas pela Qualcomm incluem a CVE-2023-33063, que envolve corrupção de memória nos Serviços DSP durante uma chamada remota do HLOS para o DSP.

A segunda vulnerabilidade, a CVE-2023-33106, com pontuação CVSS de 8.4, é caracterizada por corrupção de memória em Gráficos ao enviar uma extensa lista de pontos de sincronização em um comando AUX para o IOCTL_KGSL_GPU_AUX_COMMAND.

A terceira, a CVE-2023-33107, também com pontuação CVSS de 8.4, refere-se à corrupção de memória em Gráficos Linux durante a atribuição de uma região de memória virtual compartilhada durante uma chamada IOCTL. Estas falhas destacam preocupações significativas de segurança nos componentes de chip da Qualcomm.

O Google Threat Analysis Group e o Google Project Zero revelaram em outubro de 2023 que essas três falhas, juntamente com a CVE-2022-22071, foram exploradas em ataques limitados e direcionados. As vulnerabilidades foram relatadas por um pesquisador de segurança conhecido como luckyrb, pela equipe de segurança do Android do Google e pelos pesquisadores do TAG Benoît Sevens e Jann Horn do Google Project Zero. Atualmente, não se sabe como essas falhas foram armadas e quem está por trás dos ataques.

A descoberta levou a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a adicionar as quatro falhas ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), instando as agências federais a aplicarem os patches até 26 de dezembro de 2023.