יצרנית השבביםקוואלקום (Qualcomm) הכריזה בעדכון האבטחה האחרון שלה כי צוות חוקרי האבטחה TAG (ר"ת Threat Analysis Group) של גוגל זיהה פרצת יום אפס שקיבלה את קוד הזיהוי CVE-2024-43047, עם האישור כי היא אותרה בשימוש על ידי גורמים זדוניים.
בניגוד להרבה מפרצות האבטחה אותן חברות מאתרות "מראש" ומעדכנות עליהן לאחר שחרור התיקון המתאים, הפרצה החדשה מוגדרת כפרצת יום אפס שאותרה כפעילה, דבר המצביע על כך שגורמים זדוניים ביצעו בה שימוש על מנת לפגוע במשתמשים שונים באופן ממוקד וספציפי מאוד לפי חוקרי האבטחה של גוגל ואמנסטי.
פרצת ה-CVE-2024-43047 מוגדרת כחמורה עם דירוג CVSS של 7.8, כאשר היא פוגעת ב-DSP, מעבד האותות הדיגיטלי, המוכר יותר תחת השם Hexagon.
רשימת השבבים החשופים לפריצה זו ארוכה מאוד וכוללת 64 מערכות שבבים שונות, בהן Snapdragon 8 Gen 1 ו-Snapdragon 680, הנמצאות בשימוש אצל מגוון רחב של יצרני מכשירים.
הפרצה היא מסוג חולשת "שימוש לאחר שפנוי" UAF (ר"ת use-after-free) הקשורה לאופן בו ה-DSP מנהל את הזיכרון שלו, עם האפשרות של גורמים זדוניים להזריק כתובות זיכרון הנמצאת בשימוש על מנת לקבל גישה גבוהה יותר למכשיר של המשתמש, אך קוואלקום לא ציינה את אופן השימוש הספציפי בפרצה.
חברת קוואלקום הפיצה ליצרנים השונים תיקון לדרייבר ה-FASTRPC, שנועד לתקן את פרצת ה-CVE-2024-43047, עם "המלצה" לשחרר עדכוני אבטחה בהקדם בעבור המכשירים של המשתמשים.
עוקבים? כל החדשות מגאדג'טי
חלק מהפוסטים באתר כוללים קישורי תכניות שותפים, עבורם נקבל עמלה עם ביצוע רכישה בפועל של מוצרים. עמלה זו לא מייקרת את העלות הסופית של המוצרים עבורכם.
הסקירות והתכנים המופיעים באתר מהווים המלצה בלבד, וכך יש להתייחס אליהם. כל המחירים המופיעים באתר נכונים ליום הפרסום בלבד והאחריות לקניית מוצר או שירות כזה או אחר מוטלת עליך בלבד – השימוש באתר בהתאם לתנאי השימוש והפרטיות.