Qualcomm Technologiesは10月2日(米国時間)、「Security Bulletins|Qualcomm Documentation」において、Qualcommの複数製品に複数の脆弱性が存在すると伝えた。脆弱性の中には深刻度が緊急(Critical)とされるものが含まれており、OEM(Original Equipment Manufacturing)はできるだけ早く製品にセキュリティアップデートを適用することが推奨されている。

  • Security Bulletins|Qualcomm Documentation

    Security Bulletins|Qualcomm Documentation

公開された脆弱性は合計22件で、そのうち深刻度が緊急(Critical)の脆弱性は3件とされる。深刻度が緊急(Critical)の脆弱性は次のとおり。

  • CVE-2023-24855 - AS Security Exchangeの前のセキュリティ関連の設定を処理する際にモデムでメモリが破損する
  • CVE-2023-28540 - TLSハンドシェイク中の不適切な認証によるデータモデムの暗号化の問題
  • CVE-2023-33028 - pmkキャッシュのメモリコピー中にWLANファームウェアのメモリが破損する

このほか、Google脅威分析グループとGoogle Project Zeroは、CVE-2023-33106、CVE-2023-33107、CVE-2022-22071、CVE-2023-33063で追跡される脆弱性が、特定の標的を狙うサイバー攻撃に悪用されている可能性があると指摘。

これら脆弱性のうちCVE-2022-22071以外は詳細が公開されていないが、QualcommはAdreno GPUおよびCompute DSPドライバに影響を与える問題の修正が利用可能になり次第、OEMにセキュリティアップデートを導入することを求めている。これら脆弱性の詳細は、2023年12月に公開される予定。