美国网络安全和基础设施安全局 (CISA) 将 高通漏洞添加到其已知可利用漏洞 (KEV) 目录中。

以下是添加到目录中的问题列表：

• CVE-2023-33106  Qualcomm 多芯片组使用超出范围的指针偏移漏洞
• CVE-2023-33063  Qualcomm 多芯片组释放后使用漏洞
• CVE-2023-33107  Qualcomm 多芯片组整数溢出漏洞
• CVE-2022-22071  Qualcomm 多芯片组释放后使用漏洞

该供应商于 2023 年 10 月解决了CVE-2023-33106、CVE-2023-33107和CVE-2023-33063缺陷。该公司还警告说，其中三个零日漏洞在野外攻击中被积极利用。CVE-2022-22071 已包含在我们 2022 年 5 月的公共公告中。

谷歌威胁分析小组和谷歌零项目首先报告称，CVE-2023-33106、CVE-2023-33107、CVE-2022-22071和CVE-2023-33063在针对性攻击中被积极利用。

谷歌威胁分析小组和谷歌零项目专家重点关注民族国家行为者或监控公司实施的攻击，这意味着这些威胁行为者之一可能是利用高通缺陷的幕后黑手。

根据 约束性操作指令 (BOD) 22-01：降低已知被利用漏洞的重大风险，FCEB 机构必须在到期日之前解决已识别的漏洞，以保护其网络免受利用目录中的缺陷的攻击。

专家还建议私人组织审查 目录 并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2023 年 12 月 26 日之前修复这些漏洞。