高通骁龙通告 22 个安全漏洞,联想、微软和三星设备受影响
高通公司 2023 年 1 月的安全公告解决了其骁龙套件中的 22 个软件漏洞。固件保护公司Binarly的efiXplorer团队,OPPO琥珀安全实验室的Zinuo Han,IceSword Lab的Gengjia Chen,研究人员nicolas(nicolas1993),STEALIEN的Seonung Jang和百度安全的Le Wu报告了一些漏洞。 以下是公司解决的最严重漏洞报告: 最严重的缺陷是跟踪为 CVE-2022-33219 的汽车缓冲区溢出的整数溢出(CVSS 得分 9.3)。“汽车中的内存损坏是由于整数溢出到缓冲区溢出,同时向共享缓冲区注册新侦听器。 高通公司修复的另外两个严重问题是: CVE-2022-33218(CVSS 得分 8.2) – 该漏洞是由于输入验证不当而导致的汽车内存损坏。 CVE-2022-33265(CVSS 得分 7.3)– 该漏洞是电力线通信固件中的信息暴露。 这些漏洞影响了使用联想,微软和三星制造的Snapdragon芯片组的笔记本电脑和其他设备。 联想发布安全更新 1月3日,Lenovo(联想)发布安全更新,修复了ThinkPad X13s BIOS中的多个安全漏洞,本地用户可利用这些漏洞导致内存损坏或敏感信息泄露。 本次ThinkPad X13s BIOS更新中共修复了如下漏洞: CVE-ID 类型 评分 受影响产品/组件 描述 CVE-2022-40516 基于堆栈的缓冲区溢出导致内存损坏 8.4 Qualcomm BIOS 本地用户可利用这些漏洞导致内存损坏、拒绝服务或任意代码执行。 CVE-2022-40517 CVE-2022-40520 CVE-2022-40518 缓冲区过度读取 6.8 Qualcomm BIOS 本地用户可利用这些漏洞导致信息泄露。 CVE-2022-40519 CVE-2022-4432、CVE-2022-4433、CVE-2022-4434、CVE-2022-4435 缓冲区过度读取 None ThinkPad X13s BIOS 本地用户可利用这些漏洞导致信息泄露。 影响范围 ThinkPad X13s BIOS 版本<1.47 (N3HET75W) 目前这些漏洞已经修复,Lenovo ThinkPad X13s用户可将BIOS更新到1.47 (N3HET75W)版本。 转自 Freebuf,原文链接:https://www.freebuf.com/news/354778.html 封面来源于网络,如有侵权请联系删除
有证据表明高通驱动中的 4 个漏洞已经被黑客利用 数百万台设备受影响
有证据标明存在于高通和 Mali GPU 内核驱动中的漏洞已经被黑客利用,至少有数百万台 Android 设备受到影响。到目前为止,Google Pixel 设备是唯一得到修补的设备,但其他 Android 设备延迟更新的长期问题仍然存在。 本月早些时候,安全公司 Check Point 发现,为数亿台 Android 设备提供动力的高通芯片存在一个关键的安全漏洞。在本周更新的 5 月 Android 安全公告中,表示 5 月 1 日披露的漏洞中有 4 个已经被黑客利用发起攻击。 在安全公告中,罗列了不少于 42 个漏洞,这些漏洞在 2021 年 5 月的安全更新中被修补,但当时该公司并不知道有任何漏洞被积极利用。而最新数据标明,其中 4 个漏洞可能处于“有限、有针对性的利用”中。 其中两个漏洞影响到数百个芯片组中的高通 GPU,包括最新的支持 5G 的芯片组,如骁龙 768G 和骁龙 888。另外两个漏洞影响到Arm Mali GPU(用于数百万安卓设备)的内核驱动,其严重性不可低估,因为它们允许攻击者完全控制你的手机。 安全公司Zimperium的副总裁Asaf Peleg告诉Ars Technica,”从提升默认情况下的权限到执行当前进程现有沙盒之外的代码,设备将被完全破坏,没有数据是安全的”。 (消息及封面来源:cnBeta)
特朗普以国家安全为由禁止博通收购高通
北京时间 13 日早间路透社称,美国总统特朗普周一颁布命令,以国家安全为由禁止总部位于新加坡的芯片生产商博通公司(Broadcom)收购其美国竞争对手高通(Qualcomm )。特朗普在一份声明中表示:“ 有可信的证据让我相信,根据新加坡法律组建的博通有限公司,通过对总部位于特拉华州的高通公司行使控制权,可能会采取损害美国国家安全的行动。” 两家公司都被命令即刻放弃这一拟议中的交易。这一命令还禁止博通提议的高通董事会候选人参选,称博通提名的所有 15 名董事会候选人都不符合高通董事会资格。 此前高通拒绝了博通提出的价值 1170 亿美元的收购要约,美国外国投资委员会(CFIUS)对此项交易进行调查后确认,总部位于新加坡的博通收购高通存在国家安全相关的威胁。 稿源:cnBeta、新浪美股,封面源自网络;
路透社:博通正安抚美国政府担忧的通信安全问题
北京时间 3 月 12 日消息,根据路透报道,博通承诺倘若收购高通一案被批准,将不会出售重要的国家安全资产给外国买家。总部位于新加坡的博通,正试图安抚美国担忧的安全问题。 另外,高通公司也宣布取消了执行董事长的位置,并任命了一名新的非执行董事长,因为该公司打算在与博通的代理竞争之前讨好股东。高通还表示,Tom Horton 将继续作为首席董事。Horton 自 2008 年 12 月以来一直在该公司的董事会成员,此前曾担任美国航空公司董事长兼首席执行官。 博通以 1170 亿美元收购高通一案进一步涉及监管部门,而卷入了更复杂的战争。所需考量的问题包括了美国对于自身在全球移动网络影响力的担忧,以及对于一家全球领先、具影响力的芯片公司的财务问题。 在星期五给美国国会的一封公开信中,博通承诺每年投资 30 亿美元用于研究和工程,并在美国投资 60 亿美元。它没有说明这些数字与两家公司目前的支出相比如何。博通公司在 2017 年度的研发支出约为 33 亿美元,2016 年为 27 亿美元;相较之下,高通公司的研发投入在 2017 年度为 55 亿美元,在 2016 年为 52 亿美元,高通的研发投入显著高过于博通。 在美国外国投资委员会(CFIUS)本周下令进行国家安全审查之后,高通公司的年度股东大会已推迟了 30 天,将定于 4 月 5 日举行。美国政府还担心,中国企业包括大的网络设备和手机制造商华为,会在下一代移动网络领跑世界。 根据美国财政部网站的数据,CFIUS 在 2016 年调查了 79 宗交易,其中有 5 笔交易是出于国家安全考虑而放弃的,另有 7 笔交易因其他原因被撤回,包括未能满足监管机构的流程要求。半导体交易受到 CFIUS 的特别审查,因为芯片可以存储外国政府可能对美国使用的敏感数据。 之前有业界人士表示,审查很可能会扼杀博通收购高通的机会,并称 CFIUS 的行动是对尚未同意的交易史无前例的举措。克里斯滕森认为,要想达成这项收购协议,博通必须改变很多商业理论。这削弱了协议的意义。“我不认为他们会去做这件事。” 稿源:cnBeta,封面源自网络