Support technique
Documentation
Connexion
Nous contacter
Qualcomm et Lenovo publient de nombreux correctifs pour remédier aux failles de sécurité
Le 17 janvier 2023 - L'équipe de relations publiques de TuxCare
Qualcomm et Lenovo ont publié des correctifs pour corriger un certain nombre de failles de sécurité dans leurs puces, dont certaines pourraient entraîner une fuite de données et une corruption de la mémoire.
Des failles de sécurité ont été découvertes dans le code de référence du micrologiciel UEFI (Unified Extensible Firmware Interface) de la série de processeurs Snapdragon de Qualcomm, qui sont utilisés dans des produits allant des automobiles aux communications par courant porteur. Ces failles affectent les appareils construits sur l'architecture ARM.
Selon le bulletin de sécurité de Qualcomm, 20 vulnérabilités différentes affectant divers chipsets ont été corrigées. Cela s'explique par la diversité des produits qui utilisent ces puces. Les appareils concernés appartiennent à divers domaines technologiques, allant de l'automobile à la connectivité Android, en passant par le WLAN, la communication par courant porteur et le noyau.
Trois de ces correctifs ont un niveau de sécurité critique, et sont les suivants : CVE-2022-33218 (score CVSS 8.2 ; Technologie : Automobile) : Vulnérabilité de corruption de mémoire résultant d'une validation incorrecte des entrées CVE-2022-33219 (score CVSS 9.3 ; Technologie : Automobile) : Corruption de mémoire causée par un débordement d'entier vers un débordement de tampon lors de l'enregistrement d'un nouvel auditeur avec un tampon partagé. CVE-2022-33265 (score CVSS : 7.3 ; Technologie : Firmware de communication par courant porteur) : Corruption de mémoire causée par l'exposition d'informations lors de l'envoi de plusieurs MME à partir d'un seul dispositif non lié.
En outre, les mises à jour traitent 17 autres vulnérabilités à haut niveau de sécurité que Qualcomm a confirmées et dont elle a informé les fournisseurs concernés. Cinq d'entre elles sont également applicables aux ordinateurs portables Lenovo ThinkPad X13. CVE-2022-40516 et CVE-2022-40517 (note CVSS : élevée ; note CVSS 8.4 ; technologie : Boot) : Corruption de mémoire dans Core causée par un débordement de tampon basé sur la pile CVE-2022-40520 (note CVSS : 8,4 ; Technologie : Connectivité) : Corruption de mémoire causée par un débordement de tampon basé sur la pile dans Core CVE-2022-40518, CVE-2022-40519 (évaluation CVSS : moyenne ; score CVSS : 6,8 ; technologie : démarrage) : Divulgation d'informations suite à un dépassement de tampon dans Core.
En plus de ces correctifs, Lenovo a également corrigé d'autres vulnérabilités dans le BIOS du ThinkPad X13. Lenovo conseille aux utilisateurs de mettre à jour leur BIOS à la version 1.47 (N3HET75W) ou supérieure.
Les vulnérabilités ont également des effets en chaîne. Lenovo a adopté la puce de Qualcomm et les cinq bogues signalés par Binarly à Qualcomm affectent également les ThinkPad X13 de Lenovo, ce qui a incité l'entreprise à publier des mises à jour du BIOS pour combler la faille de sécurité.
Les sources de cet article comprennent un article de SCMagazine.
