4月28日消息,近日英國安全機構NCC Group公布了一則重磅消息:超過40款高通芯片存在“旁路漏洞”,該漏洞可被用來竊取芯片內(nèi)所儲存的機密信息,并波及采用相關芯片的Android手機等相關裝置。不過,在本月初,高通已經(jīng)修補了去年就得知的這一漏洞。
根據(jù)高通安全公告,這一編號為CVE-2018-11976的漏洞,涉及高通芯片安全執(zhí)行環(huán)境(Qualcomm Secure Execution Environment,QSEE)的橢圓曲線數(shù)碼簽章算法(Elliptic Curve Digital Signature Algorithm,ECDSA),將允許黑客推測出存放在QSEE中、以ECDSA加密的224位與256位的金鑰。
它被高通列為重大漏洞,而且影響超過40款的高通芯片,可能波及多達數(shù)十億臺的Android手機及設備。
QSEE源自于Arm的TrustZone設計,TrustZone為系統(tǒng)單晶片的安全核心,它建立了一個隔離的安全世界來供可靠軟件與機密資料使用,而其它軟件則只能在一般的世界中執(zhí)行,QSEE即是高通根據(jù)TrustZone所打造的安全執(zhí)行環(huán)境。
雖然,NCC Group早在去年就發(fā)現(xiàn)了此一漏洞,并于去年3月通知了高通,但是高通卻一直到今年4月才正式修補,并于近日被正式曝光。
值得注意的是,去年英特爾、AMD、Arm Cortrex系列芯片被接連爆出存在多項安全漏洞,雖然此后各家都推出了修補的補丁,但這并不代表之后就不會有類似的事件發(fā)生。當時,ARM負責人也對外表示,沒有絕對也安全,芯片漏洞可能再次發(fā)生。
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權轉載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。
舉報投訴
原文標題:超過40款高通芯片被曝出安全漏洞,波及數(shù)十億部手機!
文章出處:【微信號:icsmart,微信公眾號:芯智訊】歡迎添加關注!文章轉載請注明出處。
相關推薦
近日,高通公司發(fā)布了一項重要的安全警告,指出其多達64款芯片組中存在一項潛在的嚴重“零日漏洞”,編號為CVE-2024-43047。這一
發(fā)表于 10-14 15:48
?1923次閱讀
漏洞掃描是一種網(wǎng)絡安全技術,用于識別計算機系統(tǒng)、網(wǎng)絡或應用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來獲取未授權訪問、數(shù)據(jù)泄露或其他形式的攻擊。漏
發(fā)表于 09-25 10:25
?228次閱讀
電子發(fā)燒友網(wǎng)站提供《內(nèi)核程序漏洞介紹.pdf》資料免費下載
發(fā)表于 08-12 09:38
?0次下載
此次更新的漏洞追蹤編號為CVE-2024-23296,存在于RTKit實時操作系統(tǒng)。據(jù)了解,已有證據(jù)顯示該漏洞已被黑客用于進行攻擊,通過內(nèi)核讀寫功能可繞過內(nèi)存保護機制。
發(fā)表于 05-14 14:06
?448次閱讀
微軟于昨日公告,承認其 4 月份發(fā)布的 Windows Server 安全補丁存在漏洞,該漏洞可能導致 LSASS 進程崩潰,進一步引發(fā)域控制器的啟動問題。
發(fā)表于 05-09 16:07
?576次閱讀
據(jù)悉,該漏洞允許用戶在不存在的GitHub評論中上傳文件并創(chuàng)建下載鏈接,包括倉庫名和所有者信息。這種偽裝可能使受害者誤以為文件為合法資源。
發(fā)表于 04-23 14:36
?562次閱讀
該問題源于URL處理軟件中的CGI腳本段“/cgi-bin/ nas_sharing. CGI”,其對HTTPGET請求的處理過程存在漏洞。該漏洞
發(fā)表于 04-08 10:28
?722次閱讀
這個名為CVE-2024-23204的漏洞嚴重程度達到7.5分(滿分10分),通過利用“擴展URL”功能,規(guī)避蘋果的TCC訪問控制系統(tǒng),進而竊取用戶的照片、聯(lián)系人和文件甚至復制板內(nèi)容等重要信息。通過Flask程序,黑客可獲取并保
發(fā)表于 02-23 10:19
?625次閱讀
弗洛里安指出,該漏洞無需高級用戶權限即可通過Windows 10設備使域控制器的日志服務失效。AcrosSecurity經(jīng)過驗證發(fā)現(xiàn)此漏洞同時適用于Windows 11系統(tǒng),且僅需約1秒即可造成主系統(tǒng)崩潰
發(fā)表于 02-02 14:29
?464次閱讀
蘋果公司近日確認,部分設備中的圖形處理器存在名為“LeftoverLocals”的安全漏洞。這一漏洞可能影響由蘋果、高通、AMD和Imagination制造的多種圖形處理器。根據(jù)報告,
發(fā)表于 01-18 14:26
?585次閱讀
本工具是采用javafx編寫,使用sqllite進行poc儲存的poc管理和漏洞掃描集成化工具。主要功能是poc管理,并且采用多線程進行漏洞掃描。
發(fā)表于 01-09 11:01
?682次閱讀
12 月 16 日,在 2023 開放原子開發(fā)者大會開幕式上,開源漏洞共享平臺及安全獎勵計劃正式發(fā)布。開放原子開源基金會秘書長馮冠霖、開源安全委員會副主席任旭東、開源漏洞信息共享項目工作委員會主席盧
發(fā)表于 12-21 17:32
?612次閱讀
近日,國家信息安全漏洞庫(CNNVD)公示2023年度新增技術支撐單位名單。經(jīng)考核評定,聚銘網(wǎng)絡正式入選并被授予《國家信息安全漏洞庫(CNNVD)三級技術支撐單位證書》。 ? ? 國家
發(fā)表于 12-21 10:14
?554次閱讀
12月16日,在2023開放原子開發(fā)者大會開幕式上,開源漏洞共享平臺及安全獎勵計劃正式發(fā)布。開放原子開源基金會秘書長馮冠霖、開源安全委員會副主席任旭東、開源漏洞信息共享項目工作委員會主席盧列文,以及
發(fā)表于 12-17 15:50
?1002次閱讀
“MSL 可以消除內(nèi)存安全漏洞。因此,過渡到 MSL 可能會大大降低投資于旨在減少這些漏洞或將其影響降至最低的活動的必要性。
發(fā)表于 12-12 10:29
?671次閱讀
評論