Multiples vulnérabilités dans des puces Qualcomm utilisées sous Android

Date de publication : 10/10/2022

Les puces Qualcomm Snapdragon sont utilisées dans les appareils fonctionnant sous le système d’exploitation mobile Android.

Un débordement d’entier survient lorsqu’un calcul génère un résultat supérieur à la taille de mémoire qui lui est allouée.

CVE-2022-25718[Score CVSS v3.1: 9.1] (critique)

Une faille de cryptographie dans la fonction WLAN, due à une vérification incorrecte des valeurs de retour lors de la phase d’authentification permet à un attaquant de contourner la politique de sécurité du système.

CVE-2022-25748[Score CVSS v3.1:9.8] (critique)

Une faille de calcul de type « débordement d’entier » génère un débordement de mémoire tampon lors de l'analyse des trames GTK. Cette faille provoque une corruption de mémoire dans la fonction LAN et permet à un attaquant d’exécuter du code arbitraire ou de provoquer un déni de service sur le système d’exploitation Android.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Criticité

Score CVSS v3.1: 9.8 max

La faille est activement exploitée

Non, pour l’ensemble des CVE présentées.

Un correctif existe

Non, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

Pour la CVE-2022-25718

CWE-310 : Cryptographic Issues

CVE-2022-25748

CWE-680: Integer Overflow to Buffer Overflow

Détails sur l’exploitation

Pour l’ensemble de CVE présentées :

Composants vulnérables

Pour l’ensemble des CVE présentées

ici

Solutions ou recommandations

Pour l’ensemble des CVE présentées

Aucun correctif n’a encore été rendu disponible par Qualcomm.
Des informations complémentaires sont disponibles ici.

Multiples vulnérabilités dans des puces Qualcomm utilisées sous Android

Informations

Solutions ou recommandations

Liens