Qualcomm lanzó el martes parches para abordar múltiples fallas de seguridad en sus chipsets, algunas de las cuales podrían explotarse para causar divulgación de información y corrupción de memoria.
Las cinco vulnerabilidades, rastreadas desde CVE-2022-40516 hasta CVE-2022-40520, también afectan a las computadoras portátiles Lenovo ThinkPad X13s, lo que llevó al fabricante chino de PC a emitir actualizaciones de BIOS para tapar los agujeros de seguridad.
La lista de defectos es la siguiente:
- CVE-2022-40516, CVE-2022-40517 y CVE-2022-40520 (puntuaciones CVSS: 8.4) – Corrupción de memoria en Core debido al desbordamiento del búfer basado en pila
- CVE-2022-40518 y CVE-2022-40519 (puntuaciones CVSS: 6,8) – Divulgación de información debido a la sobrelectura del búfer en Core
Las vulnerabilidades de desbordamiento de búfer basadas en pila pueden provocar graves impactos, como daños en los datos, bloqueos del sistema y ejecución de código arbitrario. Las sobrelecturas de búfer, por otro lado, pueden ser utilizadas como armas para leer la memoria fuera de los límites, lo que lleva a la exposición de datos secretos.
La explotación exitosa de las fallas antes mencionadas podría permitir que un adversario local con privilegios elevados cause corrupción de memoria o filtre información confidencial, señaló Lenovo en una alerta publicada el martes.
Lenovo también corrigió otras cuatro vulnerabilidades de sobrelectura de búfer en el BIOS ThinkPad X13 que podrían conducir a la divulgación de información. Las fallas se rastrean como CVE-2022-4432, CVE-2022-4433, CVE-2022-4434 y CVE-2022-4435.
Se recomienda a los usuarios de ThinkPad X13 que actualicen el BIOS a la versión 1.47 (N3HET75W) o posterior. La firma de seguridad de firmware Binarly ha sido acreditada con el descubrimiento y la notificación de las nueve deficiencias.
El boletín de seguridad de Qualcomm de enero de 2023 cierra aún más otras 17 vulnerabilidades, incluido un error crítico de corrupción de memoria en el componente automotriz (CVE-2022-33219, puntuación CVSS: 9.3) que surge como resultado de una falla de desbordamiento del búfer.
Fuente:
Qualcomm Chipsets and Lenovo BIOS Get Security Updates to Fix Multiple Flaws (thehackernews.com)