高通公司 2023 年 1 月安全公告解決了Snapdragon 套件中的 22 個軟體漏洞。
最嚴重的缺陷是 CVE-2022-33219 的汽車緩衝區溢位的整數溢出(CVSS 得分 9.3)。汽車中的記憶體損壞是由於整數溢出到緩衝區溢位,同時向共用緩衝區安裝新偵測器。
高通公司修復的另外兩個嚴重問題是:
- CVE-2022-33218(CVSS 得分 8.2) – 該漏洞是由於輸入驗證不當而導致的汽車記憶體損壞。
- CVE-2022-33265(CVSS 得分 7.3)– 該漏洞是電力線通信韌體中的資訊暴露。
其他漏洞資訊包含:
| CVE編號 |
安全評等 |
CVSS評等 |
影響領域 |
| CVE-2022-33218 |
嚴重 |
高 |
車用 |
| CVE-2022-33219 |
嚴重 |
嚴重 |
車用 |
| CVE-2022-33265 |
嚴重 |
高 |
電力線溝通韌體 |
| CVE-2022-25725 |
高 |
中 |
工具 |
| CVE-2022-25746 |
高 |
高 |
核心 |
| CVE-2022-33252 |
高 |
高 |
WLAN韌體 |
| CVE-2022-33253 |
高 |
高 |
WLAN韌體 |
| CVE-2022-33266 |
高 |
中 |
音頻 |
| CVE-2022-33274 |
高 |
高 |
Android Core |
| CVE-2022-33276 |
高 |
高 |
WLAN韌體 |
| CVE-2022-33283 |
高 |
高 |
WLAN韌體 |
| CVE-2022-33284 |
高 |
高 |
WLAN韌體 |
| CVE-2022-33285 |
高 |
高 |
WLAN韌體 |
| CVE-2022-33286 |
高 |
高 |
WLAN韌體 |
| CVE-2022-33290 |
高 |
高 |
車用連網 |
| CVE-2022-33299 |
高 |
高 |
車用連網 |
| CVE-2022-33300 |
高 |
高 |
車用 安卓作業系統 |
| CVE-2022-40516 |
高 |
高 |
Boot |
| CVE-2022-40517 |
高 |
高 |
Boot |
| CVE-2022-40520 |
高 |
高 |
聯網 |
這些漏洞影響了使用的Snapdragon晶片的聯想、微軟和三星製造筆記型電腦和其他設備。
聯想發佈安全更新
1月3日,Lenovo(聯想)發佈安全更新,修復了ThinkPad X13s BIOS中的多個安全性漏洞,本地使用者可利用這些漏洞導致記憶體損壞或機敏資訊洩露。
本次ThinkPad X13s BIOS更新中共修復了如下漏洞:
| CVE-ID |
類型 |
評分 |
受影響產品/元件 |
描述 |
CVE-2022-40516、
CVE-2022-40517、
CVE-2022-40520 |
基於堆疊的緩衝區溢位導致記憶體損壞 |
8.4 |
Qualcomm BIOS |
本地使用者可利用這些漏洞導致記憶體損壞、拒絕服務或任意程式碼執行。 |
CVE-2022-40518、
CVE-2022-40519 |
緩衝區過度讀取 |
6.8 |
Qualcomm BIOS |
本地使用者可利用這些漏洞導致資訊洩露。 |
CVE-2022-4432、
CVE-2022-4433、
CVE-2022-4434、
CVE-2022-4435 |
緩衝區過度讀取 |
None |
ThinkPad X13s BIOS |
本地使用者可利用這些漏洞導致資訊洩露。 |
影響範圍
ThinkPad X13s BIOS 版本<1.47 (N3HET75W)
目前這些漏洞已經修復,Lenovo ThinkPad X13s用戶可將BIOS更新到1.47 (N3HET75W)版本。
本文轉載自securityaffairs.com。