CRITICAL🇬🇧 English

CVE-2023-33030

Memory corruption w HLOS podczas obsługi PlayReady w chipsetach Qualcomm

CVSS 9.3v3.1pub. 2024-01-02upd. 2024-11-21

Podatność powoduje uszkodzenie pamięci (memory corruption) w warstwie HLOS podczas wykonywania operacji związanych z PlayReady. Wysoki wynik CVSS 9.3 i klasyfikacja CRITICAL wskazują na poważne zagrożenie dla integralności, poufności i dostępności systemu.

Pokaż oryginał (EN)

Memory corruption in HLOS while running playready use-case.

🤖 Analiza AI
Jak działa

Błąd wynika z przepełnienia bufora (buffer overflow) oraz zapisu poza granicami przydzielonego obszaru pamięci (CWE-120, CWE-787) podczas obsługi przypadku użycia PlayReady w środowisku HLOS (High-Level Operating System). Nieprawidłowe zarządzanie pamięcią podczas przetwarzania danych PlayReady może prowadzić do jej korupcji. Wektor lokalny (AV:L) oznacza, że atakujący musi mieć lokalny dostęp do urządzenia, jednak nie są wymagane żadne uprawnienia (PR:N) ani interakcja użytkownika (UI:N).

Skutki

Atakujący może doprowadzić do uszkodzenia pamięci, potencjalnie uzyskując pełną kontrolę nad systemem — w tym naruszenia poufności, integralności i dostępności danych. Zakres ataku wykracza poza komponent źródłowy (S:C), co zwiększa ryzyko eskalacji uprawnień.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Qualcomm ze stycznia 2024: https://www.qualcomm.com/company/product-security/bulletins/january-2024-bulletin

Kogo dotyczy

Qualcomm 315 5G IoT Modem Firmware, Qualcomm 9205 LTE Modem Firmware, Qualcomm 9206 LTE Modem Firmware oraz powiązane produkty sprzętowe — szczegółowe wersje wskazane w referencjach producenta (biuletyn Qualcomm za styczeń 2024).

CVSS Vector
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Qualcomm 315 5g Iot Modem

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm 315 5g Iot Modem Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm 9205 Lte Modem

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm 9205 Lte Modem Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm 9206 Lte Modem

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm 9206 Lte Modem Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm 9207 Lte Modem

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm 9207 Lte Modem Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Apq8017

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Apq8017 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Apq8037

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Apq8037 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Apq8064au

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Apq8064au Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Aqt1000

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Aqt1000 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Ar8031

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Ar8031 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Ar8035

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Ar8035 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Csr8811

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Csr8811 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Csra6620

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Csra6620 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Csra6640

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Csra6640 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm Csrb31024

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm Csrb31024 Firmware

    OS
    Qualcomm
    wszystkie wersje
  • Qualcomm C V2x 9150

    HW
    Qualcomm
    wszystkie wersje
  • Qualcomm C V2x 9150 Firmware

    OS
    Qualcomm
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-47372CRITICAL9.0PL ✓ten sam produkt

Qualcomm: Memory Corruption przy ładowaniu uszkodzonego obrazu ELF

CVE-2025-21483CRITICAL9.8PL ✓ten sam produkt

Memory corruption w Qualcomm podczas składania pakietów RTP (NALUs)

CVE-2025-27034CRITICAL9.8PL ✓ten sam produkt

Qualcomm Firmware — memory corruption przy wyborze PLMN z listy SOR

CVE-2025-21450CRITICAL9.1PL ✓ten sam produkt

Qualcomm: podatność kryptograficzna umożliwiająca Auth Bypass podczas pobierania

CVE-2024-45569CRITICAL9.8PL ✓ten sam produkt

Qualcomm: Uszkodzenie pamięci przy parsowaniu ML IE w firmware