Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-02924: Уязвимость ядра микропрограммного обеспечения встраиваемых плат Qualcomm, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость ядра микропрограммного обеспечения встраиваемых плат Qualcomm связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Вендор	Google Inc., Qualcomm Technologies Inc.
Наименование ПО	Android, Qualcomm QCA6390, AQT1000, Qualcomm QCA6391, Qualcomm QCA6420, Qualcomm QCA6421, Qualcomm QCA6426, Qualcomm QCA6430, Qualcomm QCA6431, Qualcomm QCA6436, Qualcomm QCM6490, Qualcomm QCS6490, Qualcomm QRB5165, Qualcomm QRB5165M, Qualcomm QRB5165N, Qualcomm QSM8350, Qualcomm SA8540P, Qualcomm SA9000P, Qualcomm SD 8CX, Qualcomm SD 8cx Gen2, Qualcomm SD690 5G, Qualcomm SD750G, Qualcomm SD765, Qualcomm SD765G, Qualcomm SD768G, Qualcomm SD778G, Qualcomm SD780G, Qualcomm WSA8815, Qualcomm WSA8830, Qualcomm WSA8835
Версия ПО	- (Android) - (Qualcomm QCA6390) - (AQT1000) - (Qualcomm QCA6391) - (Qualcomm QCA6420) - (Qualcomm QCA6421) - (Qualcomm QCA6426) - (Qualcomm QCA6430) - (Qualcomm QCA6431) - (Qualcomm QCA6436) - (Qualcomm QCM6490) - (Qualcomm QCS6490) - (Qualcomm QRB5165) - (Qualcomm QRB5165M) - (Qualcomm QRB5165N) - (Qualcomm QSM8350) - (Qualcomm SA8540P) - (Qualcomm SA9000P) - (Qualcomm SD 8CX) - (Qualcomm SD 8cx Gen2) - (Qualcomm SD690 5G) - (Qualcomm SD750G) - (Qualcomm SD765) - (Qualcomm SD765G) - (Qualcomm SD768G) - (Qualcomm SD778G) - (Qualcomm SD780G) - (Qualcomm WSA8815) - (Qualcomm WSA8830) - (Qualcomm WSA8835)
Тип ПО	Операционная система, Микропрограммный код
Операционные системы и аппаратные платформы	Google Inc. Android -
Тип ошибки	Ситуация гонки Time-of-check Time-of-use (TOCTOU)
Идентификатор типа ошибки	CWE-367
Класс уязвимости	Уязвимость кода
Дата выявления	01.11.2021
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Qualcomm: https://docs.qualcomm.com/product/publicresources/securitybulletin/may-2022-bulletin.html Для Android: https://source.android.com/security/bulletin/2022-05-01
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование сроками и состоянием
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://docs.qualcomm.com/product/publicresources/securitybulletin/may-2022-bulletin.html https://source.android.com/security/bulletin/2022-05-0 https://www.anti-malware.ru/news/2022-05-05-111332/38646
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-35090
Прочая информация	Данные уточняются

Последние изменения