Qualcomm устранила в чипсетах опасную 0-day уязвимость

Екатерина Быстрова 08 Октября 2024 - 09:16

Корпорации

Эксплойты

Уязвимости программ

Уязвимость нулевого дня

Патчи

...

Qualcomm устранила в чипсетах опасную 0-day уязвимость

Уязвимость нулевого дня (0-day), обнаруженная в службе Digital Signal Processor (DSP), затрагивает ряд чипсетов Qualcomm. Корпорация уже подготовила соответствующие патчи, которые необходимо установить, учитывая специфику бреши.

Проблему, получившую идентификатор CVE-2024-43047, выявили исследователь из команды Google Project Zero Сет Дженкинс и специалист Amnesty International Security Lab Конгуэй Ванг.

«В текущей реализации DSP обновляет буферы заголовков неиспользуемыми дескрипторами DMA fd. Если в буфере присутствуют какие-либо дескрипторы DMA FD, соответствующий мап освобождается в разделе put_args», — гласит коммит DSP.

«Однако есть проблема: поскольку поскольку буфер заголовка доступен в неподписанном PD, пользователи могут обновлять невалидные FD. А если последние совпадает с уже используемыми FD, это приводит к уязвимости вида use-after-free (UAF — ошибка использования динамической памяти в процессе работы софта)».

Как отметили исследователи, CVE-2024-43047 уже используется в реальных кибератаках. Об этом же пишет сама Qualcomm, настоятельно рекомендуя установить готовые патчи на все затронутые устройства.

Помимо этого, техногигант выпустил заплатки для другой бреши — CVE-2024-33066, затрагивающей WLAN Resource Manager (о ней сообщалось больше года назад).

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Яков Шпунт 08 Октября 2024 - 21:01

Корпорации Государство SearchInform

Развитие сервисов и внешняя экспансия – задачи российской ИБ-отрасли

Генеральный директор «СёрчИнформ» Лев Матвеев, выступая на пресс-конференции НП Руссофт «Взгляд в будущее. Что ждет ИТ-отрасль в следующие 25 лет?», посвященной юбилею объединения, назвал основными тенденциями российского ИБ-рынка ориентацию на развитие сервисов, а также внешнюю экспансию.

Как подчеркнул Лев Матвеев, ИБ-сервисам все больше доверяют. Он сослался на результаты исследований «СёрчИнформ», согласно которым заинтересованы в ИБ-аутсорсинге 45% российских компаний.

За последние 5 лет эта доля выросла без малого в 6 раз: на рубеже 2019 и 2020 годов она составляла меньше 8%.

Главной целевой аудиторией ИБ-сервисов Лев Матвеев назвал компании, которые располагают 30-300 компьютерами. Им, по его оценке, не целесообразно создавать внутреннюю ИБ-службу, но они сталкиваются с теми же киберрисками, что и крупные компании.

Причем внутренние угрозы, связанные с деятельностью инсайдеров, фродом и мошенничеством или просто различными нарушениями трудовой дисциплины, для них еще более значимы, чем для государственных или крупных корпоративных структур.

Задачей ближайшего будущего глава «СёрчИнформ» назвал интеграцию ИБ-сервисов во всех смыслах. ИБ-продукты разных вендоров должны быть совместимы как между собой, так и с другими системами, используемыми бизнесом, от операционных систем и сред подготовки офисных документов до электронного документооборота и автоматизации бизнес-процессов.

По прогнозам Льва Матвеева, привлекательность аутсорсинга через 7-8 лет еще более вырастет как в мире, так и в России. Сам сегмент ИБ-услуг будет развиваться по модели, близкой к платформенному подходу (или «уберизации»).

Задачей российской ИБ-отрасли Лев Матвеев считает создание таких платформ, в том числе с расчетом выхода на внешние рынки. Он назвал многие страны и регионы практически свободными от конкурентов.

Сходные оценки давали и цифровые атташе. Согласно результатам вебинаров, которые провели действующие цифровые атташе совместно с АНО «Цифровая экономика», ИБ-решения имеют перспективы на рынках Вьетнама, Малайзии, ОАЭ, ЮАР, а также стран СНГ. Лев Матвеев добавил к этому списку также Турцию.

Qualcomm устранила в чипсетах опасную 0-day уязвимость

Читайте также