יצרנית השבביםקוואלקום (Qualcomm) הכריזה בעדכון האבטחה האחרון שלה כי צוות חוקרי האבטחה TAG (ר”ת Threat Analysis Group) של גוגל זיהה פרצת יום אפס שקיבלה את קוד הזיהוי CVE-2024-43047, עם האישור כי היא אותרה בשימוש על ידי גורמים זדוניים.
בניגוד להרבה מפרצות האבטחה אותן חברות מאתרות “מראש” ומעדכנות עליהן לאחר שחרור התיקון המתאים, הפרצה החדשה מוגדרת כפרצת יום אפס שאותרה כפעילה, דבר המצביע על כך שגורמים זדוניים ביצעו בה שימוש על מנת לפגוע במשתמשים שונים באופן ממוקד וספציפי מאוד לפי חוקרי האבטחה של גוגל ואמנסטי.
פרצת ה-CVE-2024-43047 מוגדרת כחמורה עם דירוג CVSS של 7.8, כאשר היא פוגעת ב-DSP, מעבד האותות הדיגיטלי, המוכר יותר תחת השם Hexagon.
רשימת השבבים החשופים לפריצה זו ארוכה מאוד וכוללת 64 מערכות שבבים שונות, בהן Snapdragon 8 Gen 1 ו-Snapdragon 680, הנמצאות בשימוש אצל מגוון רחב של יצרני מכשירים.
הפרצה היא מסוג חולשת “שימוש לאחר שפנוי” UAF (ר”ת use-after-free) הקשורה לאופן בו ה-DSP מנהל את הזיכרון שלו, עם האפשרות של גורמים זדוניים להזריק כתובות זיכרון הנמצאת בשימוש על מנת לקבל גישה גבוהה יותר למכשיר של המשתמש, אך קוואלקום לא ציינה את אופן השימוש הספציפי בפרצה.
חברת קוואלקום הפיצה ליצרנים השונים תיקון לדרייבר ה-FASTRPC, שנועד לתקן את פרצת ה-CVE-2024-43047, עם “המלצה” לשחרר עדכוני אבטחה בהקדם בעבור המכשירים של המשתמשים.
