Qualcomm dün yonga setlerinde bazıları bilgi ifşasına ve bellek bozulmasına yol açmak üzere kullanılabilecek birden fazla güvenlik açığını gidermek için yamalar yayınladı.
CVE-2022-40516’dan CVE-2022-40520’ye kadar izlenen beş güvenlik açığı, Lenovo ThinkPad X13s dizüstü bilgisayarlarını da etkileyerek Çinli PC üreticisinin güvenlik açıklarını kapatmak için BIOS güncellemeleri yayınlamasına neden oldu.
Açıkların listesi şöyle;
- CVE-2022-40516, CVE-2022-40517 & CVE-2022-40520 (CVSS puanları: 8.4) – Yığın tabanlı arabellek taşması nedeniyle Çekirdekte bellek bozulması
- CVE-2022-40518 & CVE-2022-40519 (CVSS puanları: 6.8) – Çekirdekte arabelleğin aşırı okunması nedeniyle bilgilerin açığa çıkması
Yığın tabanlı arabellek taşması güvenlik açıkları, veri bozulması, sistem çökmeleri ve rastgele kod yürütme gibi ciddi etkilere neden olabilir. Öte yandan arabellek aşırı okumaları, sınır dışı belleği okumak için silah haline getirilebilir ve bu da gizli verilerin açığa çıkmasına neden olur.
Lenovo, dün yayınlanan bir uyarıda , yukarıda belirtilen açıkların kullanılmasının mümkün olduğunu, yükseltilmiş ayrıcalıklara sahip yerel bir düşmanın bellek bozulmasına veya hassas bilgilerin sızmasına izin verebileceğini belirtti.
Ayrıca Lenovo tarafından düzeltilen, ThinkPad X13 BIOS’ta bilgilerin açığa çıkmasına neden olabilecek dört fazla arabellek aşırı okuma güvenlik açığı var. Bunlar CVE-2022-4432, CVE-2022-4433, CVE-2022-4434 ve CVE-2022-4435 olarak izlenir.
ThinkPad X13 kullanıcılarının BIOS’u 1.47 (N3HET75W) veya daha yeni bir sürüme güncellemesi öneriliyor. Üretici yazılımı güvenlik firması Binarly, dokuz eksikliği keşfeden firma.
Qualcomm’un Ocak 2023 güvenlik bülteni, arabellek taşması kusurunun bir sonucu olarak ortaya çıkan Otomotiv bileşeninde (CVE-2022-33219, CVSS puanı: 9.3) kritik bir bellek bozulması hatası da dahil olmak üzere 17 diğer güvenlik açığını daha da kapattı.