Dans le cadre de ses mises à jour de sécurité pour le mois d'octobre, Qualcomm corrige une vingtaine de vulnérabilités de sécurité qui affectent les logiciels propriétaires et open source utilisés sur ses différents chipsets.

Une seule vulnérabilité CVE-2024-33066 est jugée critique (score CVSS de 9,8 sur 10) et touche WLAN Resource Manager. Elle a été découverte par des chercheurs en sécurité de Claroty Research et en collaboration avec Trend Micro Zero Day Initiative.

Avec un vecteur d'attaque à distance, la faille avait été signalée il y a plus d'un an en juin 2023. Toutefois, ce n'est pas cette vulnérabilité qui attire l'attention, mais une vulnérabilité CVE-2024-43047. Pour cause, Qualcomm souligne une exploitation active dans des attaques.

Une campagne d'espionnage en cours ?

Au score CVSS de 7,8 sur 10, la vulnérabilité 0-day fait plus exactement l'objet d'une exploitation dite limitée et ciblée. Cataloguée du côté des failles en rapport avec du logiciel open source, elle affecte le service DSP (Digital Signal Processor) pour plus d'une soixantaine de chipsets.

Exploitable par des attaquants en local avec de faibles privilèges, la vulnérabilité CVE-2024-43047 a été signalée à la fin du mois de septembre dernier par Seth Jenkins de Google Project Zero et Conghui Wang d'Amnesty International Security Lab.

Cette attribution donne déjà une indication sur la vulnérabilité. Son exploitation dans des attaques est probablement en lien avec une campagne de spyware très ciblée (politiciens, journalistes…). Reste que pour le responsable du Security Lab chez Amnesty Tech, le bug touche des dizaines de millions d'utilisateurs d'Android.

spyware-android

Un patch qui arrivera… ou pas

" Les correctifs pour le problème affectant le pilote FastRPC ont été mis à la disposition des OEMs et il leur est fortement recommandé de déployer la mise à jour sur les appareils concernés dès que possible ", écrit Qualcomm en évoquant la vulnérabilité CVE-2024-43047.

Qualcomm incite également les utilisateurs à contacter le fabricant de leur appareil pour obtenir plus d'informations sur l'état des correctifs concernant des appareils spécifiques. Davantage de détails sur les attaques devraient être publiés prochainement.