高通骁龙通告22个安全漏洞,联想、微软和三星设备受影响
高通公司 2023 年 1 月的安全公告解决了其骁龙套件中的 22 个软件漏洞。固件保护公司Binarly的efiXplorer团队,OPPO琥珀安全实验室的Zinuo Han,IceSword Lab的Gengjia Chen,研究人员nicolas(nicolas1993),STEALIEN的Seonung Jang和百度安全的Le Wu报告了一些漏洞。
以下是公司解决的最严重漏洞报告:
最严重的缺陷是跟踪为 CVE-2022-33219 的汽车缓冲区溢出的整数溢出(CVSS 得分 9.3)。“汽车中的内存损坏是由于整数溢出到缓冲区溢出,同时向共享缓冲区注册新侦听器。
高通公司修复的另外两个严重问题是:
- CVE-2022-33218(CVSS 得分 8.2) – 该漏洞是由于输入验证不当而导致的汽车内存损坏。
- CVE-2022-33265(CVSS 得分 7.3)– 该漏洞是电力线通信固件中的信息暴露。
这些漏洞影响了使用联想,微软和三星制造的Snapdragon芯片组的笔记本电脑和其他设备。
联想发布安全更新
1月3日,Lenovo(联想)发布安全更新,修复了ThinkPad X13s BIOS中的多个安全漏洞,本地用户可利用这些漏洞导致内存损坏或敏感信息泄露。
本次ThinkPad X13s BIOS更新中共修复了如下漏洞:
CVE-ID | 类型 | 评分 | 受影响产品/组件 | 描述 |
|---|---|---|---|---|
CVE-2022-40516 | 基于堆栈的缓冲区溢出导致内存损坏 | 8.4 | Qualcomm BIOS | 本地用户可利用这些漏洞导致内存损坏、拒绝服务或任意代码执行。 |
CVE-2022-40517 | ||||
CVE-2022-40520 | ||||
CVE-2022-40518 | 缓冲区过度读取 | 6.8 | Qualcomm BIOS | 本地用户可利用这些漏洞导致信息泄露。 |
CVE-2022-40519 | ||||
CVE-2022-4432、CVE-2022-4433、CVE-2022-4434、CVE-2022-4435 | 缓冲区过度读取 | None | ThinkPad X13s BIOS | 本地用户可利用这些漏洞导致信息泄露。 |
影响范围
ThinkPad X13s BIOS 版本<1.47 (N3HET75W),目前这些漏洞已经修复,Lenovo ThinkPad X13s用户可将BIOS更新到1.47 (N3HET75W)版本。
参考来源:
https://securityaffairs.com/140528/security/qualcomm-snapdragon-flaws.html
相关文章
- 在 Go 里用 CGO?这 7 个问题你要关注!
- 9款优秀的去中心化通讯软件 Matrix 的客户端
- 求职数据分析,项目经验该怎么写
- 在OKR中,我看到了数据驱动业务的未来
- 火山引擎云原生大数据在金融行业的实践
- OpenHarmony富设备移植指南(二)—从postmarketOS获取移植资源
- 《数据成熟度指数》报告:64%的企业领袖认为大多数员工“不懂数据”
- OpenHarmony 小型系统兼容性测试指南
- 肯睿中国(Cloudera):2023年企业数字战略三大趋势预测
- 适用于 Linux 的十大命令行游戏
- GNOME 截图工具的新旧截图方式
- System76 即将推出的 COSMIC 桌面正在酝酿大变化
- 2GB 内存 8GB 存储即可流畅运行,Windows 11 极致精简版系统 Tiny11 发布
- 迎接 ecode:一个即将推出的具有全新图形用户界面框架的现代、轻量级代码编辑器
- loongarch架构介绍(三)—地址翻译
- Go 语言怎么解决编译器错误“err is shadowed during return”?
- 敏捷:可能被开发人员遗忘的部分
- Denodo预测2023年数据管理和分析的未来
- 利用数据推动可持续发展
- 在 Vue3 中实现 React 原生 Hooks(useState、useEffect),深入理解 React Hooks 的