https://www.informationsecurity.com.tw/Seminar/2024_TNSP/
https://www.informationsecurity.com.tw/Seminar/2024_TNSP/

新聞

聯想、微軟和三星設備注意!高通公告22個Snapdragon 相關安全漏洞

2023 / 01 / 12
編輯部
聯想、微軟和三星設備注意!高通公告22個Snapdragon 相關安全漏洞
高通公司 2023 年 1 月安全公告解決了Snapdragon 套件中的 22 個軟體漏洞。

最嚴重的缺陷是 CVE-2022-33219 的汽車緩衝區溢位的整數溢出(CVSS 得分 9.3)。汽車中的記憶體損壞是由於整數溢出到緩衝區溢位,同時向共用緩衝區安裝新偵測器。

高通公司修復的另外兩個嚴重問題是:
  • CVE-2022-33218(CVSS 得分 8.2) – 該漏洞是由於輸入驗證不當而導致的汽車記憶體損壞。
  • CVE-2022-33265(CVSS 得分 7.3)– 該漏洞是電力線通信韌體中的資訊暴露。
其他漏洞資訊包含:  
CVE編號 安全評等 CVSS評等 影響領域
CVE-2022-33218 嚴重 車用
CVE-2022-33219 嚴重 嚴重 車用
CVE-2022-33265 嚴重 電力線溝通韌體
CVE-2022-25725 工具
CVE-2022-25746 核心
CVE-2022-33252 WLAN韌體
CVE-2022-33253 WLAN韌體
CVE-2022-33266 音頻
CVE-2022-33274 Android Core
CVE-2022-33276 WLAN韌體
CVE-2022-33283 WLAN韌體
CVE-2022-33284 WLAN韌體
CVE-2022-33285 WLAN韌體
CVE-2022-33286 WLAN韌體
CVE-2022-33290 車用連網
CVE-2022-33299 車用連網
CVE-2022-33300 車用 安卓作業系統
CVE-2022-40516 Boot
CVE-2022-40517 Boot
CVE-2022-40520 聯網

這些漏洞影響了使用的Snapdragon晶片的聯想、微軟和三星製造筆記型電腦和其他設備。

聯想發佈安全更新

1月3日,Lenovo(聯想)發佈安全更新,修復了ThinkPad X13s BIOS中的多個安全性漏洞,本地使用者可利用這些漏洞導致記憶體損壞或機敏資訊洩露。

本次ThinkPad X13s BIOS更新中共修復了如下漏洞:
CVE-ID 類型 評分 受影響產品/元件 描述
CVE-2022-40516、
CVE-2022-40517、
CVE-2022-40520
基於堆疊的緩衝區溢位導致記憶體損壞 8.4 Qualcomm BIOS 本地使用者可利用這些漏洞導致記憶體損壞、拒絕服務或任意程式碼執行。
CVE-2022-40518、
CVE-2022-40519
緩衝區過度讀取 6.8 Qualcomm BIOS 本地使用者可利用這些漏洞導致資訊洩露。
CVE-2022-4432、
CVE-2022-4433、
CVE-2022-4434、
CVE-2022-4435
緩衝區過度讀取 None ThinkPad X13s BIOS 本地使用者可利用這些漏洞導致資訊洩露。

影響範圍
ThinkPad X13s BIOS 版本<1.47 (N3HET75W)
目前這些漏洞已經修復,Lenovo ThinkPad X13s用戶可將BIOS更新到1.47 (N3HET75W)版本。

本文轉載自securityaffairs.com。