Especialistas en ciberseguridad reportan el hallazgo de siete vulnerabilidades en diversos chips de Qualcomm. Según el reporte, la explotación de estas fallas permitiría el despliegue de diversos escenarios maliciosos, como lectura fuera de límites, entre otros.
A continuación se presentan breves descripciones de las vulnerabilidades reportadas, además de sus respectivos puntajes y claves de identificación según el Common Vulnerability Scoring System (CVSS).
CVE-2020-3700: Una condición de límite en WIN WLAN Host permite a los actores de amenazas remotos obtener acceso a la información confidencial en el sistema objetivo desencadenado un error de lectura fuera de límites. Esta es una falla de severidad media que recibió un puntaje de 6.5/10 en la escala CVSS.
CVE-2019-10580: Una falla use-after-free en HLOS permite a los hackers maliciosos obtener privilegios elevados en el sistema objetivo, comprometiendo el sistema vulnerable.
Esta es una vulnerabilidad de baja gravedad y recibió un puntaje de 7/10 en la escala CVSS.
CVE-2020-3701: Esa falla existe debido a un error use-after-free en el controlador de cámara de Qualcomm. Los hackers remotos podrían obtener privilegios elevados en el sistema objetivo, exponiendo por completo el sistema vulnerable. Esta es una falla de severidad alta, por lo que le fue asignado un puntaje de 8.5/10.
CVE-2020-3688: Una condición de límite en el análisis de archivos mp4 permite a los actores de amenazas obtener acceso a información confidencial en el sistema objetivo desencadenado fallas en la memoria.
La falla recibió un puntaje de 6.5/10, por lo que se le considera un error de severidad media.
CVE-2020-3671: Esta vulnerabilidad existe debido a un error use-after-free que permite a los hackers remotos comprometer un sistema afectado obteniendo privilegios elevados en el sistema. Esta es una falla crítica que recibió un puntaje de 8.5/10 en la escala CVSS.
CVE-2020-3698: Un error de límite al procesar entradas no confiables en el host WLAN permite a los hackers remotos comprometer el sistema objetivo mediante la ejecución de código arbitrario. Esta vulnerabilidad recibió un puntaje de 8.5/10, por lo que se le considera una falla crítica.
CVE-2020-3699: Un error de límite en WLAN HOST podría ser explotado para ejecutar código remoto en el sistema objetivo. Los actores de amenazas pueden generar serios daños en la memoria del sistema, además de ejecutar código arbitrario. La falla recibió un puntaje de 8.5/10, por lo que se le considera un error crítico.
A pesar de que las fallas pueden ser explotadas por hackers remotos no autenticados, los investigadores no han encontrado evidencias de ataques en escenarios reales o algún malware asociado al ataque.
Las fallas ya han sido corregidas, por lo que se recomienda a los usuarios verificar la seguridad de sus implementaciones. La lista completa de productos afectados se encuentra en las plataformas oficiales de Qualcomm.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.