Google 위협 인텔리전스 팀과 Google Zero 프로젝트 팀은 지난 10월 Qualcomm 칩에 새로운 취약점이 나타나 실제로 악용되고 있음을 밝혔습니다. 이러한 취약점의 악용은 제한적이고 표적화되어 있습니다. 일반적으로 해커 그룹은 간첩 활동과 같은 표적 공격을 수행합니다.
이번 주 안드로이드 2023-12 보안 게시판을 공개하면서 구글이 공개한 취약점이 어떻게 무기화됐는지, 공격 배후가 누구인지는 확실하지 않습니다.
이제 Qualcomm은 보안 게시판에서도 이러한 취약점을 발표했으며 CVSS 점수는 매우 높습니다.
첫 번째 취약점은 CVE-2023-33063이며 CVSS 점수는 7.8이며 HLOS에서 DSP로의 원격 호출 중 메모리 손상으로 설명됩니다.
두 번째 취약점은 CVSS 점수가 8.4인 CVE-2023-33106이며 AUX 명령의 대규모 동기화 목록을 IOCTL_KGSL_GPU_AUX_COMMAND에 제출할 때 그래픽 메모리 손상을 일으키는 것으로 설명됩니다.
세 번째 취약점은 CVE-2023-33107이며 CVSS 점수는 8.4입니다. IOCTL 호출 중에 공유 가상 메모리 영역을 할당할 때 발생하는 그래픽 메모리 손상에 대한 설명입니다.
이러한 취약점 외에도 Android 2023-12 보안 게시판에서는 85개의 결함도 해결되었습니다. 그 중 시스템 구성 요소의 고위험 취약점은 CVE-2023-40088이며, 이는 상호 작용 없이 원격 코드 실행으로 이어질 수 있습니다.
다음으로 OEM이 적응 모델에 대한 업데이트를 확보하고 출시할 수 있도록 관련 취약점 패치가 AOSP에 출시될 예정이므로 사용자가 업데이트를 받을 수 있는 시기는 주로 OEM에 달려 있습니다.