Qualcomm patcht actief misbruikte kwetsbaarheid in diverse Snapdragon-chipsets

Qualcomm brengt een beveiligingspatch uit voor een kritieke kwetsbaarheid met risico voor uiteenlopende chipsets van het bedrijf, waaronder Snapdragon-socs. Het bedrijf vraagt fabrikanten die Qualcomm-chips gebruiken om de beveiligingspatch uit te rollen.

snapdragon 8 gen 3
snapdragon 8 gen 3

Het gaat om de geheugencorruptiebug CVE-2024-43047, die in samenwerking met Google Project Zero en het Amnesty International Security Lab ontdekt werd. Volgens die instanties wordt deze kwetsbaarheid in beperkte mate actief misbruikt. Door een firmware-update uit te brengen, kunnen oem's voorkomen dat de kwetsbaarheid verder misbruikt wordt. De bug krijgt een CVSS-score van 7.8.

Qualcomm patcht tevens een zeer kritieke kwetsbaarheid CVE-2024-33066 met de CVSS-score 9.8. Voor zover bekend is deze kwetsbaarheid, wederom een geheugencorruptiebug waarbij aanvallers ook bestanden in het geheugen kunnen bewerken, niet actief misbruikt.

Door Yannick Spinner

Redacteur

Feedback • 09-10-2024 15:52
14 • submitter: wildhagen

09-10-2024 • 15:52

14

Submitter: wildhagen

Lees meer

Qualcomm introduceert Snapdragon 8 Elite-smartphonechip met Oryon-cores
Qualcomm introduceert Snapdragon 8 Elite-smartphonechip met Oryon-cores Nieuws van 22 oktober 2024
Bloomberg: Qualcomm besluit pas na verkiezingen VS of het Intel wil overnemen
Bloomberg: Qualcomm besluit pas na verkiezingen VS of het Intel wil overnemen Nieuws van 17 oktober 2024
Android-telefoons bevatten lek dat remotecode-execution mogelijk maakt
Android-telefoons bevatten lek dat remotecode-execution mogelijk maakt Nieuws van 8 oktober 2024
Kritieke kwetsbaarheden ontdekt in DrayTek Vigor-routers
Kritieke kwetsbaarheden ontdekt in DrayTek Vigor-routers Nieuws van 8 oktober 2024
'Tienduizenden verkeerslichten in Nederland kunnen op afstand worden bestuurd'
'Tienduizenden verkeerslichten in Nederland kunnen op afstand worden bestuurd' Nieuws van 5 oktober 2024
Kritieke rce-kwetsbaarheid in e-mailsoftware Zimbra wordt actief misbruikt
Kritieke rce-kwetsbaarheid in e-mailsoftware Zimbra wordt actief misbruikt Nieuws van 2 oktober 2024
NCSC deelde informatie met VS en VK zonder wettelijke grondslag
NCSC deelde informatie met VS en VK zonder wettelijke grondslag Nieuws van 30 september 2024
Meer producten en artikelen
Beveiliging en antivirus Qualcomm Patches Snapdragon

Reacties (14)

-Moderatie-faq
14
14
13
2
0
1
Wijzig sortering

Sorteer op:

Weergave:
Olaf van der Spek 9 oktober 2024 15:56
Voor zover bekend is deze kwetsbaarheid, wederom een geheugencorruptiebug waarbij aanvallers ook bestanden in het geheugen kunnen bewerken, niet actief misbruikt.
"Absence of Evidence is not evidence of absence"
met risico voor uiteenlopende chipsets van het bedrijf,
Welke chipsets?
wildhagen
@Olaf van der Spek9 oktober 2024 15:58
[...]

Welke chipsets?
Which Chipsets Are Affected by CVE-2024-43047?
The CVE-2024-43047 vulnerability impacts a broad range of Qualcomm chipsets, spanning across mobile platforms, video collaboration platforms, modem systems, and audio components. Some of the affected products include:

- FastConnect Series: 6700, 6800, 6900, 7800
- QCA Series: QCA6174A, QCA6391, QCA6426, QCA6436, QCA6574AU, QCA6595, QCA6688AQ, QCA6696
- QCS Series: QCS410, QCS610, QCS6490
- Snapdragon Mobile Platforms: Snapdragon 660, 680 4G, 685 4G (SM6225-AD), 8 Gen 1, 865 5G, 870 5G, 888 5G
- Snapdragon Auto: Auto 5G Modem-RF, Auto 5G Modem-RF Gen 2
- Video Collaboration Platforms: Qualcomm® VC1 and VC3
- Audio and Wireless: WCD9335, WCN3980, WSA8810

The list here is not exhaustive; many other chipsets from Qualcomm are also impacted. Users with affected devices should update their Snapdragon components to the latest firmware version as soon as possible to protect against potential exploitation.
Zie https://socradar.io/qualc...r-2024-security-bulletin/

[Reactie gewijzigd door wildhagen op 9 oktober 2024 15:59]

HakanX @wildhagen9 oktober 2024 18:49
Users with affected devices should update their Snapdragon components to the latest firmware version as soon as possible to protect against potential exploitation.
Veel succes 90% zal niet geüpdatet kunnen worden omdat je afhankelijk bent van honderden verschillende fabrikanten.
Wordt weer pijnlijk duidelijk hoe groot het probleem is met apparaten waarvan je niet zelf drivers kan installeren, maar je een compleet nieuw firmware nodig hebt. Zo'n gevaarlijke lek gaat dus gewoon open blijven. Alles om de wegwerp economie intact te kunnen houden. EU moet hier toch echt werk van maken.
Tozz @HakanX10 oktober 2024 08:26
vziw is dit steeds minder het geval. Google is al een tijdje bezig om meer systeemonderdelen te verpakken in 'apps' die via de Store worden geupdate. Je hebt dan geen nieuwe firmware nodig om security updates te krijgen.
watercoolertje
@Olaf van der Spek9 oktober 2024 16:09
[...]
"Absence of Evidence is not evidence of absence"
Dat dekt die zin zelf al prima af:
Voor zover bekend is deze kwetsbaarheid ... niet actief misbruikt.
Van der Berg 9 oktober 2024 15:56
Goed dat er actie wordt ondernomen en ik wacht dan op de uitrol van de patch voor op mijn S24 Ultra. Krijgen de oudere SoC met Snapdragon deze update alsnog, als de updatebeleid teneinde is?
OruBLMsFrl @Van der Berg9 oktober 2024 16:40
Het is zeer onwaarschijnlijk dat er nog veel smartphone fabrikanten voor end of life phones zo een firmware update uitbrengen wijst de geschiedenis uit. Een paar positieve uitzonderingen daargelaten is het probleem vaak de smartphone fabrikant. En aan de andere kant is het een enkele negatieve uitzondering waar de soc support te vroeg stopt terwijl smartphone makers oprecht nog lekker door blijven patchen.
Wie weet verandert dat laatste nu smartphone fabrikanten soms wel 8 jaar update garantie geven, dat dan soc support eerder beperkend wordt.
merethan @OruBLMsFrl10 oktober 2024 10:28
En aan de andere kant is het een enkele negatieve uitzondering waar de SoC support te vroeg stopt terwijl smartphone makers oprecht nog lekker door blijven patchen.
Om precies die reden heeft Fairphone een industriële SoC gebruikt in hun meest recente model; support van de fabrikant is langer dan bij consumentenchips.
RedBull 9 oktober 2024 16:07
Dus mijn S23 met Snapdragon 8 Gen 2 valt er net niet onder.
McBacon @RedBull9 oktober 2024 16:38
Nouja, misschien ook wel. Zie de link van wildhagen en dan het stukje met "the list here is not exhaustive". Ik vind het vrij aannemelijk dat de Gen 2 er net zo goed last van heeft, want de Gen 1 is al wel bevestigd.
Probook8979 9 oktober 2024 19:40
Hoe kan ik deze patch doorvoeren?
Splorky @Probook897910 oktober 2024 17:09
de fabrikant lief aankijken, en waarschijnlijk de oplossing krijgen in de vorm van het advies een nieuw toestel te kopen.
sdziscool 9 oktober 2024 16:10
Ik zie mijn CPU ertussen staan, en natuurlijk de laatste update van mijn telefoon was 2 jaar geleden. Hopelijk dat hij misschien met de google play update meekomt maar ik verwacht van niet aangezien dit hardware betreft :c
wooha 9 oktober 2024 17:13
Voorzover ik zie zijn het geen bugs of vulnerabilities in de hardware/chipsets zelf, maar gaat het om drivers die gebruikmaken van de genoemde chipsets.

De titel gaf me het idee van een side-channel attack of erger tegen de hardware/chipset zelf, zoals Meltdown en Spectre. Waarbij de term "patcht" dan suggereert dat er een firmware/microcode work-around of fix bestaat.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq