高通产品被发现存在 20 个漏洞,其中包括一个潜在的零日漏洞
高通公司解决了其产品中的 20 个漏洞,包括一个潜在的零日问题,该问题被追踪为 CVE-2024-43047(CVSS 得分 7.8)。 该漏洞源于一个可导致内存损坏的 “释放后使用”(use-after-free)错误。 该零日漏洞存在于数字信号处理器(DSP)服务中,影响数十种芯片组。 “目前,DSP 使用未使用的 DMA 句柄 fds 更新头缓冲区。在 put_args 部分,如果头缓冲区中存在任何 DMA 句柄 FD,就会释放相应的映射。不过,由于头缓冲区是以无符号 PD 的形式暴露给用户的,因此用户可以更新无效的 FD。如果该无效 FD 与任何已在使用中的 FD 相匹配,则可能导致免费使用(UAF)漏洞。“作为解决方案,为 DMA FD 添加 DMA 句柄引用,只有在找到引用时才释放 FD 的映射。 谷歌零项目的网络安全研究人员塞斯-詹金斯(Seth Jenkins)和国际特赦组织安全实验室的王聪慧(Conghui Wang)报告了这一漏洞。詹金斯希望建议尽快在安卓设备上解决这个问题。 谷歌威胁分析小组声称,CVE-2024-43047 可能受到有限的、有针对性的利用,Wang 也证实了野外活动。 “谷歌威胁分析小组有迹象表明,CVE-2024-43047 可能正受到有限的、有针对性的利用。”该公司的公告中写道。“针对影响 FASTRPC 驱动程序问题的补丁已提供给 OEM 厂商,并强烈建议尽快在受影响的设备上部署更新。有关特定设备补丁状态的详细信息,请联系您的设备制造商。 研究人员还没有公布利用 CVE-2024-43047 进行攻击的细节,不过,报告机构以调查与商业间谍软件供应商有关的网络攻击而闻名。 以下是受此漏洞影响的芯片组: FastConnect 6700、FastConnect 6800、FastConnect 6900、FastConnect 7800、QAM8295P、QCA6174A、QCA6391、QCA6426、QCA6436、QCA6574AU、QCA6584AU、QCA6595、QCA6595AU、QCA6688AQ、QCA6696、QCA6698AQ、QCS410、QCS610、QCS6490、Qualcomm® Video Collaboration VC1 Platform、 Qualcomm®视频协作VC3平台、SA4150P、SA4155P、SA6145P、SA6150P、SA6155P、SA8145P、SA8150P、SA8155P、SA8195P、SA8295P、SD660、SD865 5G、SG4150P、骁龙660移动平台、骁龙680 4G移动平台、骁龙685 4G移动平台(SM6225-AD)、 骁龙 8 代移动平台、骁龙 865 5G 移动平台、骁龙 865+ 5G 移动平台(SM8250-AB)、骁龙 870 5G 移动平台(SM8250-AC)、骁龙 888 5G 移动平台、骁龙 888+ 5G 移动平台(SM8350-AC)、骁龙自动 5G 调制解调器-RF、 骁龙自动 5G 调制解调器-RF Gen 2、骁龙 X55 5G 调制解调器-RF 系统、骁龙 XR2 5G 平台、SW5100、SW5100P、SXR2130、WCD9335、WCD9341、WCD9370、WCD9375、WCD9380、WCD9385、WCN3950、WCN3980、WCN3988、WCN3990、WSA8810、WSA8815、WSA8830、WSA8835 高通公司还解决了 WLAN 资源管理器中一个关键的不当输入验证缺陷,该缺陷被跟踪为 CVE-2024-33066(CVSS 得分 9.8)。 转自安全客,原文链接:https://www.anquanke.com/post/id/300650 封面来源于网络,如有侵权请联系删除
美国政府担忧科技巨头高通向中国转让先进技术
美媒称,在中国研发无人机之际,美国科技巨头高通公司正提供帮助。此外,在人工智能、移动技术和超级计算机方面也是如此。高通公司目前还致力于帮助华为等中国企业进入海外市场,以支持中国企业 “ 走出去 ”、培养跨国品牌的努力。 据美国《纽约时报》网站 8 月 5 日报道,高通公司正为北京打造超强本土技术力量的总体规划提供资金、专业知识和工程技术。 报道称,美国大企业严密保护自己的知识产权和商业机密,担心让对手占据优势。但它们在中国几乎别无选择,华盛顿对此抱有担忧。为进入中国市场,美国企业转让技术、创立合资企业、降低价格并为中国本土企业提供帮助。这些努力构成了中国一项宏伟计划的支柱,这项计划旨在确保中国企业在人工智能和半导体等核心技术领域占据支配地位。 知情人士透露,随着北京的产业政策引起越来越多的担忧,特朗普政府正准备对美国知识产权受到的潜在侵犯开展一次广泛调查。国会也正在思考一些办法限制先进技术的输出,例如出台更严格的规定防止美国资产被收购或限制技术转让。在这方面,美国的经济利益与它的国家安全需求相一致。人们担心,通过与中国合作,美国企业可能正在种下自我毁灭的种子,此外还可能交出美国军事、太空和防务项目所依赖的关键技术。 此外,超威半导体公司和惠普企业公司正与中国企业合作研发服务器芯片,为它们自己的产品创造对手。英特尔公司正与中国携手制造高端移动芯片,与高通公司展开竞争。国际商用机器公司已经同意转让可能使中国进入有利可图的银行大型机业务的重要技术。华盛顿智库战略与国际问题研究中心的分析师詹姆斯·刘易斯说:“ 华盛顿非常不安。防务、情报机构等担心中国正在获得先进芯片制造能力。” 据悉,作为在世界上占据支配地位的手机芯片制造商,高通公司曾与中国政府发生冲突,它在 2015 年因为反竞争行为而被处以 9.75 亿美元的创纪录罚款。为重新获得北京的青睐,该公司同意在中国降价,承诺将更多高端制造交给中国的合作伙伴,并承诺升级该国的技术能力。据《纽约时报》报道,高通公司与中国政府的关联程度以及对一些美国科技巨头所带来的影响可以在中国西南部一栋低矮办公楼中看到。在那里,一批工程师正在研发最先进的微芯片,以便与英特尔公司的最精密产品展开竞争。这些芯片将用于一个巨大的数据和云中心,该中心有望加强中国的计算能力。中国不再满足于依赖从别处购买用于手机、电脑和汽车的芯片,它现在想要设计并制造这些驱动很大一部分数字世界的“大脑”。 目前,政府正为和高通公司一同成立的初创公司提供土地和融资,该公司名为华芯通半导体。高通公司提供了技术和约 1.4 亿美元的初始资金。在哈佛大学商学院执教的史兆威说:“ 高通公司需要进行平衡。世界上的个人电脑大多是在中国制造的,世界上的智能手机也大多是这样,所以他们不得不合作。这是一个严酷现实。” 稿源:cnBeta、参考消息网;封面源自网络。