Decenas de vulnerabilidades de software afectaron el firmware de Qualcomm y afectaron los dispositivos de Microsoft, Lenovo y Samsung.
El boletín de seguridad de enero de 2023 de Qualcomm abordó 22 vulnerabilidades de software en su suite Snapdragon. Algunas de las vulnerabilidades fueron reportadas por el equipo efiXplorer de la firma de protección de firmware Binarly, Zinuo Han de OPPO Amber Security Lab, Gengjia Chen de IceSword Lab, los investigadores nicolas (nicolas1993), Seonung Jang de STEALIEN y Le Wu de Baidu Security.
A continuación se reportan las vulnerabilidades más severas atendidas por la empresa:
| IDENTIFICACIÓN PÚBLICA | CLASIFICACIÓN DE SEGURIDAD | CLASIFICACIÓN CVSS | ÁREA DE TECNOLOGÍA | FECHA REPORTADA |
|---|---|---|---|---|
| CVE-2022-33218 | Crítico | Alto | Automotor | Interno |
| CVE-2022-33219 | Crítico | Crítico | Automotor | Interno |
| CVE-2022-33265 | Crítico | Alto | Firmware de comunicación por línea eléctrica | Interno |
| CVE-2022-25725 | Alto | Medio | UTILIDADES | Interno |
| CVE-2022-25746 | Alto | Alto | NÚCLEO | Interno |
| CVE-2022-33252 | Alto | Alto | Firmware de WLAN | Interno |
| CVE-2022-33253 | Alto | Alto | Firmware de WLAN | Interno |
| CVE-2022-33266 | Alto | Medio | Audio | Interno |
| CVE-2022-33274 | Alto | Alto | Núcleo de Android | Interno |
| CVE-2022-33276 | Alto | Alto | Firmware de WLAN | Interno |
| CVE-2022-33283 | Alto | Alto | Firmware de WLAN | Interno |
| CVE-2022-33284 | Alto | Alto | Firmware de WLAN | Interno |
| CVE-2022-33285 | Alto | Alto | Firmware de WLAN | Interno |
| CVE-2022-33286 | Alto | Alto | Firmware de WLAN | Interno |
| CVE-2022-33290 | Alto | Alto | Conectividad automotriz | Interno |
| CVE-2022-33299 | Alto | Alto | Conectividad automotriz | Interno |
| CVE-2022-33300 | Alto | Alto | Sistema operativo Android automotriz | Interno |
| CVE-2022-40516 | Alto | Alto | Bota | 28/10/2022 |
| CVE-2022-40517 | Alto | Alto | Bota | 28/10/2022 |
| CVE-2022-40520 | Alto | Alto | Conectividad | 28/10/2022 |
La vulnerabilidad más grave es un desbordamiento de enteros al desbordamiento de búfer en Automotive rastreado como CVE-2022-33219 (puntaje CVSS 9.3).
“Corrupción de la memoria en Automotive debido al desbordamiento de enteros al desbordamiento del búfer al registrar un nuevo oyente con el búfer compartido” lee el aviso.
Otras dos vulnerabilidades graves solucionados por Qualcomm son:
- CVE-2022-33218 (puntuación CVSS 8.2): la vulnerabilidad es una corrupción de memoria en Automotive debido a una validación de entrada incorrecta.
- CVE-2022-33265 (puntaje CVSS 7.3): la vulnerabilidad es una exposición de información en el firmware de comunicación Powerline.
Las vulnerabilidades afectaron a las computadoras portátiles y otros dispositivos que utilizan conjuntos de chips Snapdragon fabricados por Lenovo, Microsoft y Samsung.
Lenovo lanzó actualizaciones para abordar las vulnerabilidades que afectan al BIOS de ThinkPad X13s.
Fuente: https://securityaffairs.com/140528/security/qualcomm-snapdragon-flaws.html
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.