Google威胁情报小组以及 Google Zero Project 团队已经在 10 月份透露高通芯片中出现新漏洞并且已经在野

Google威胁情报小组以及 Google Zero Project 团队已经在 10 月份透露高通芯片中出现新漏洞并且已经在野外遭到利用,这些漏洞的利用是有限的和有针对性的,一般来说都是黑客集团进行针对性的攻击,例如间谍行为。 目前还不清楚这些漏洞怎么被武器化以及发起攻击的幕后黑手是谁,Google本周公布 Android 2023-12 安全公告的时候透露了这些漏洞。 现在高通也在安全公告里公布了这些漏洞,CVSS 评分都非常高: 第一个漏洞是 CVE-2023-33063,CVSS 评分为 7.8 分,描述是从 HLOS 到 DSP 的远程调用期间内存损坏; 第二个漏洞是 CVE-2023-33106,CVSS 评分为 8.4 分,描述是在向 IOCTL_KGSL_GPU_AUX_COMMAND 提交 AUX 命令中的大量同步列表时导致图形内存损坏; 第三个漏洞是 CVE-2023-33107,CVSS 评分为 8.4 分,描述是 IOCTL 调用期间分配共享虚拟内存区域时,图形内存损坏 除了这些漏洞外,Android 2023-12 安全公告里还解决了 85 个缺陷,其中系统组件里有个高危漏洞是 CVE-2023-40088,该漏洞可能导致远程代码执行而且不需要任何交互。 接下来相关漏洞补丁会发布的 AOSP 里供 OEM 获取然后适配机型发布更新,所以用户什么时候能收到更新主要取决于 OEM 了。 标签: #高通 频道: @GodlyNews1 投稿: @GodlyNewsBot

相关推荐

封面图片

Google 紧急发布 Chrome 安全更新

Google 紧急发布 Chrome 安全更新 近日,Google 针对 macOS、Windows 与 Linux 平台上的 Chrome 浏览器发布了一项关键安全更新。该更新旨在修补一个已被发现可被利用的 Zero Day 漏洞。Google 在其 Stable Channel 更新公告中提到,他们已知这个名为 CVE-2023-6345 的漏洞正被恶意利用。 这一漏洞是在上周由 Google 威胁分析小组 (TAG) 的安全研究人员发现的。虽然 Google 没有透露更多有关 CVE-2023-6345 漏洞的细节,但普遍认为这与 Skia 有关。Skia 是 Chrome 图形引擎中使用的一个开源 2D 图形库。根据 macOS 更新的说明,该漏洞允许至少一名攻击者透过恶意文件 “可能进行沙盒逃逸”,理论上可能导致任意代码执行和数据窃取。 标签: #Google #Chrone 频道: @GodlyNews1 投稿: @GodlyNewsBot
封面图片

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞 下面是此次更新的漏洞概览:高危安全漏洞:CVE-2024-6100,为 JavaScript V8 引擎中的类型混淆问题,该漏洞由安全研究人员 @0x10n 提交,漏洞奖金为 20,000 美元高危安全漏洞:CVE-2024-6101,为 WebAssembly 中的不适当实现,该漏洞由安全研究人员 @ginggilBesel 报告,漏洞奖金为 7,000 美元高危安全漏洞:CVE-2024-6102,Dawn 中的越界内存访问,该漏洞由安全研究人员 @wgslfuzz 报告,漏洞奖金待定高危安全漏洞:CVE-2024-6103,Dawn 中的 Use-after-Free 问题,该漏洞由安全研究人员 @wgslfuzz 报告,漏洞奖金待定除了四个外部安全研究人员反馈的高危漏洞外,谷歌内部还发现了两个漏洞并通过此版本进行修复,不过这两个漏洞的细节谷歌并没有提供,也没有或者不需要分配 CVE 编号。使用 Chrome 浏览器的用户请转到关于页面检查更新,亦可通过蓝点网文件下载服务器获取此次更新的离线安装包进行覆盖升级: ... PC版: 手机版:
封面图片

谷歌“快速分享”出现安全漏洞 新版本已修复

谷歌“快速分享”出现安全漏洞 新版本已修复 谷歌警告其“快速分享” (Quick Share) 软件中存在两处安全漏洞。这些漏洞影响 Android 和 Windows 版本,可能允许攻击者在未经用户同意的情况下向 Windows 计算机发送数据。漏洞 (CVE-2024-38272) 的 CVSS 评分为 7.1,允许攻击者绕过 Windows 版“快速分享”中的文件接受对话框。通常,当设置为“接收所有人”或“接收联系人”模式时“快速分享”需要用户确认才能接收文件。然而,这个漏洞使攻击者能够绕过这个安全措施。第二个漏洞 (CVE-2024-38271) 的 CVSS 评分为 5.9,可使恶意行为者能够在数据传输过程中充当中间人。谷歌目前已在“快速分享”最新版本 1.0.1724.0 中修复了这些漏洞。 、
封面图片

谷歌 Chrome 浏览器获推 124.0.6367.201/202 更新,修复界面组件 RAM 高危漏洞 CVE-2024-4

谷歌 Chrome 浏览器获推 124.0.6367.201/202 更新,修复界面组件 RAM 高危漏洞 CVE-2024-4671 谷歌披露,他们在 5 月 7 日接收了匿名人士报告的相关漏洞,随即展开修复工作,这项 CVE-2024-4671 漏洞 CVSS 评分为 8.8,实际上是一个常见的“Use-after-free”类 RAM 错误,主要影响 Chrome 浏览器界面组件,允许黑客远程执行代码。
封面图片

重要: 近日,谷歌发现 Chrome 浏览器存在一个严重的安全漏洞,该漏洞已经被黑客利用,可能导致用户的数据和电脑受到损害。为了

重要: 近日,谷歌发现 Chrome 浏览器存在一个严重的安全漏洞,该漏洞已经被黑客利用,可能导致用户的数据和电脑受到损害。为了解决这个问题,谷歌紧急推出了一个安全更新,并建议所有的 Chrome 用户尽快安装。 这个漏洞被命名为 CVE-2023-2033,是一个类型混淆漏洞,出现在 Chrome 浏览器使用的 V8 JavaScript 引擎中。简单来说,类型混淆漏洞是一种允许使用错误的类型访问内存的 Bug,从而导致越界读写内存。这个漏洞的危险之处在于,黑客可以制作一个恶意的 HTML 页面,利用堆内存的损坏来执行任意代码。 根据谷歌的威胁分析组(TAG)的报告,这个漏洞已经被黑客利用。虽然目前还没有公布这个漏洞的具体影响范围和危害程度,但谷歌将其定为“高”级别的问题,并在周五发布了一个公告,提醒用户注意。 来源:
封面图片

苹果紧急更新修复了用于入侵iPhone和Mac的零漏洞

苹果紧急更新修复了用于入侵iPhone和Mac的零漏洞 苹果公司周四发布了安全更新,以解决被攻击者利用来入侵iPhone、iPad和Mac的两个零日漏洞。 零日安全漏洞是软件供应商不知道的缺陷,还没有打补丁。在某些情况下,它们也有公开可用的概念验证漏洞,或者可能已被积极利用。 在今天发布的安全公告中,苹果公司表示,他们知道有报告称这些问题 "可能已经被积极利用了"。 这两个缺陷是英特尔图形驱动程序中的越界写入问题(CVE-2022-22674),允许应用程序读取内核内存,以及AppleAVD媒体解码器中的越界读取问题(CVE-2022-22675),将使应用程序以内核权限执行任意代码。 这些漏洞由匿名研究人员报告,并由苹果公司在iOS 15.4.1、iPadOS 15.4.1和macOS Monterey 12.3.1中修复,分别改进了输入验证和边界检查。 BleepingComputer

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人