BDU:2022-02924: Уязвимость ядра микропрограммного обеспечения встраиваемых плат Qualcomm, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость ядра микропрограммного обеспечения встраиваемых плат Qualcomm связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Вендор Google Inc., Qualcomm Technologies Inc.
Наименование ПО Android, Qualcomm QCA6390, AQT1000, Qualcomm QCA6391, Qualcomm QCA6420, Qualcomm QCA6421, Qualcomm QCA6426, Qualcomm QCA6430, Qualcomm QCA6431, Qualcomm QCA6436, Qualcomm QCM6490, Qualcomm QCS6490, Qualcomm QRB5165, Qualcomm QRB5165M, Qualcomm QRB5165N, Qualcomm QSM8350, Qualcomm SA8540P, Qualcomm SA9000P, Qualcomm SD 8CX, Qualcomm SD 8cx Gen2, Qualcomm SD690 5G, Qualcomm SD750G, Qualcomm SD765, Qualcomm SD765G, Qualcomm SD768G, Qualcomm SD778G, Qualcomm SD780G, Qualcomm WSA8815, Qualcomm WSA8830, Qualcomm WSA8835
Версия ПО - (Android), - (Qualcomm QCA6390), - (AQT1000), - (Qualcomm QCA6391), - (Qualcomm QCA6420), - (Qualcomm QCA6421), - (Qualcomm QCA6426), - (Qualcomm QCA6430), - (Qualcomm QCA6431), - (Qualcomm QCA6436), - (Qualcomm QCM6490), - (Qualcomm QCS6490), - (Qualcomm QRB5165), - (Qualcomm QRB5165M), - (Qualcomm QRB5165N), - (Qualcomm QSM8350), - (Qualcomm SA8540P), - (Qualcomm SA9000P), - (Qualcomm SD 8CX), - (Qualcomm SD 8cx Gen2), - (Qualcomm SD690 5G), - (Qualcomm SD750G), - (Qualcomm SD765), - (Qualcomm SD765G), - (Qualcomm SD768G), - (Qualcomm SD778G), - (Qualcomm SD780G), - (Qualcomm WSA8815), - (Qualcomm WSA8830), - (Qualcomm WSA8835)
Тип ПО Операционная система, Микропрограммный код
Операционные системы и аппаратные платформы
  • Google Inc. Android - Не указана
Тип ошибки Ситуация гонки Time-of-check Time-of-use (TOCTOU)
Идентификатор типа ошибки CWE-367
Класс уязвимости Уязвимость кода
Дата выявления 01.11.2021
Базовый вектор уязвимости
  • CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C
  • CVSS 3.0: AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:

Для Qualcomm:
https://docs.qualcomm.com/product/publicresources/securitybulletin/may-2022-bulletin.html

Для Android:
https://source.android.com/security/bulletin/2022-05-01
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование сроками и состоянием
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются