Qualcomm披露安全漏洞

重点要点

Qualcomm在周二披露了其芯片组中近二十个安全漏洞，包括公司旗舰的SnapDragon处理器，并影响从汽车到电力通信的各种产品。

在Qualcomm的2023年1月安全公告中发布的22个专有软件问题中，有两个漏洞CVE202233218 和 CVE202233219与汽车相关，还有一个漏洞CVE202233265与电力通信固件相关。这些漏洞的严重性都被评为高或关键，而且修补起来相当复杂。

此外，还有五个主要漏洞CVE202240516至CVE202240520与ARM架构的UEFI固件有关，这些漏洞往往影响整个ARM笔记本电脑和设备生态系统。

近年来，固件攻击变得愈发普遍，黑客将目光从用户面对的操作系统转向更底层的嵌入式代码，这些代码支持硬件。上个月，固件和硬件安全公司Eclypsium发现许多严重的vulnerability出现在美国MegatrenedsAMI制造的基本管理控制器BMC固件中，而该固件被许多全球服务器制造商使用。

“随着Windows、Mac和Linux等操作系统变得更加安全和强化，攻击者开始寻找其他攻击领域。固件成为他们的完美选择，因为它的保护基本上位于操作系统的下方，”Eclypsium的威胁研究与情报主管Nate Warfield在接受SC Media采访时表示。“我们的团队甚至发现像Conti这样的勒索软件组织开始研究如何在设备上获得固件级别的持久性。”

Binarly是一家AI驱动的固件保护公司，向Qualcomm报告了五个UEFI固件漏洞CVE202240516至CVE202240520。都注意到，周二的安全通告尤其引人注目，因为这标志着首次有关ARM上UEFI固件的重大公众披露。

“我们打开了ARM设备UEFI固件漏洞的潘多拉盒子，影响到企业供应商，”Binarly的创始人兼首席执行官Alex Matrosov对SC Media表示。“我们报告的主要漏洞与Qualcomm的Snapdragon芯片参考代码有关。参考代码中的漏洞通常是影响最大的，因为它们往往影响整个生态系统，而不仅仅是单个供应商。由于UEFI固件供应链的复杂性，这些漏洞往往会产生额外的影响。”

这些漏洞还会产生下游影响。计算机硬件巨头Lenovo采用了Qualcomm的芯片，而Binarly报告的五个漏洞也影响到了Lenovo ThinkPad X13s，促使该公司发布BIOS更新来修补这个安全漏洞。

虽然CVE202240516至CVE202240520对整个ARM生态系统构成威胁，但Warfield指出电力通信中的漏洞修补要更为复杂，补丁成本更高。

“如果在Windows计算机上补丁出现错误，可以回滚。但如果在电力站上补丁出现错误，可能会导致停电，”Warfield说。

积极的一面是，固件安全公司NetRise的首席执行官Thomas Pace对SC Media表示，Qualcomm的披露显示，固件漏洞的意识正在上升，这应该会促使制造商逐步改善保护措施