近日,高通公司发布了一项重要的安全警告,揭示了其多达64款芯片组存在严重的“0Day漏洞”。这一漏洞被标识为CVE-2024-43047,影响广泛,波及多个搭载骁龙芯片的Android智能手机和平板电脑、物联网设备等多个领域。
所谓“0Day漏洞”,是指那些尚未被软件厂商或操作系统供应商知晓的安全漏洞。攻击者可以利用这些漏洞,在未被检测的情况下对系统进行攻击,窃取数据或执行恶意代码。
根据高通的公告,CVE-2024-43047源于数字信号处理器(DSP)服务中的使用后释放(use-after-free)错误,可能导致内存损坏。该漏洞的CVSS评分为7.8,表明其严重性较高。
值得注意的是,这一漏洞已经被有限且有针对性地利用,攻击者可以通过运行恶意代码来控制设备。美国网络安全机构 CISA 已将高通的漏洞列入其已知或已被利用的漏洞列表。
此次漏洞的发现和披露由谷歌安全分析小组及国际特赦组织安全实验室共同完成,并且已有恶意攻击者开始利用这一漏洞。这使得受影响的用户面临潜在的隐私泄露、设备控制以及恶意软件安装等风险。
这一漏洞的存在,可能导致以下严重后果:数据泄露:攻击者可通过漏洞获取用户敏感信息,如通讯录、照片、银行账户等,造成隐私泄露;系统瘫痪:恶意攻击可能导致设备系统崩溃,影响用户正常使用;远程控制:攻击者甚至有可能通过漏洞实现对设备的远程控制,进而实施更为复杂的犯罪行为。
高通公司已经发布了针对该漏洞的安全补丁,建议所有用户尽快更新其设备固件以避免潜在的安全威胁。然而,由于一些用户尚未及时更新手机,因此仍需保持警惕。
据悉,该漏洞影响到高通生产的 64 款芯片组型号如下:FastConnect 6700、FastConnect 6800、FastConnect 6900、FastConnect 7800、QAM8295P、 QCA6174A、 QCA6391、 QCA6426、QCA6436、QCA6574AU、QCA6584AU、QCA6595、 QCA6595AU、QCA6688AQ、QCA6696、QCA6698AQ、QCS410、QCS610、QCS6490、高通®视频协作 VC1 平台、高通®视频协作 VC3 平台、SA4150P、SA4155P、SA6145P、SA6150P、 SA6155P、SA8145P、SA8150P、SA8155P、SA8195P、SA8295P、SD660、SD865 5G、SG4150P、Snapdragon 660 移动平台、Snapdragon 680 4G 移动平台、骁龙 685 4G 移动平台 (SM6225-AD)、骁龙 8 Gen 1 移动平台、骁龙 865 5G 移动平台、骁龙 865+ 5G 移动平台(SM8250-AB)、骁龙 870 5G 移动平台(SM8250-AC)、骁龙 888 5G 移动平台、骁龙 888+ 5G 移动平台 (SM8350-AC)、骁龙 Auto 5G 调制解调器-RF、骁龙 Auto 5G 调制解调器-RF Gen 2、骁龙 X55 5G 调制解调器-RF系统、骁龙 XR2 5G 平台、SW5100、SW5100P、SXR2130、WCD9335、WCD9341、WCD9370、WCD9375、WCD9380、WCD9385、WCN3950、WCN3980、WCN3988、WCN3990、WSA8810、WSA8815、WSA8830、WSA8835。这些芯片或将用于三星Galaxy S22 Ultra、一加OnePlus 10 Pro、Sony Xperia 1 IV、OPPO Find X5 Pro、荣耀 Magic4 Pro、Xiaomi 12等,名单中还包括用于蓝牙和 Wi-Fi 连接的 Snapdragon 调制解调器和 FastConnect 模块。
此次受影响的高通芯片型号众多,覆盖了从入门级到高端市场的多个系列。设备制造商需密切关注高通公司的最新动态,及时跟进并应用相关补丁,确保产品安全。用户应保持警惕,定期检查设备系统更新情况,并遵循厂商建议进行安全设置。