Qualcomm Snapdragon Auto Callback erweiterte Rechte

EintraganpassenHistoryDiffjsonxmlCTI
CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.5$0-$5k0.00

Es wurde eine kritische Schwachstelle in Qualcomm Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music sowie Snapdragon Wired Infrastructure and Networking (Chip Software) gefunden. Dabei betrifft es ein unbekannter Codeteil der Komponente Callback Handler. Dank der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-275 vorgenommen. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

While waiting for a response to a callback or listener request, non-secure clients can change permissions to shared memory buffers used by HLOS Invoke Call to secure kernel in Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking

Die Schwachstelle wurde am 09.06.2021 publiziert. Das Advisory findet sich auf qualcomm.com. Die Identifikation der Schwachstelle wird seit dem 31.03.2020 mit CVE-2020-11298 vorgenommen. Sie gilt als leicht ausnutzbar. Der Angriff muss lokal erfolgen. Das Ausnutzen erfordert eine einfache Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $0-$5k gehandelt werden wird (Preisberechnung vom 11.06.2021). Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1222 bezeichnet.

Ein Aktualisieren vermag dieses Problem zu lösen.

Produktinfoanpassen

Typ

Hersteller

Name

CPE 2.3infoanpassen

CPE 2.2infoanpassen

CVSSv3infoanpassen

VulDB Meta Base Score: 7.8
VulDB Meta Temp Score: 7.5

VulDB Base Score: 7.8
VulDB Temp Score: 7.5
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv2infoanpassen

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfoanpassen

Klasse: Erweiterte Rechte
CWE: CWE-275
ATT&CK: T1222

Lokal: Ja
Remote: Nein

Verfügbarkeit: 🔒
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfoanpassen

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfoanpassen

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: qualcomm.com

Timelineinfoanpassen

31.03.2020 CVE zugewiesen
09.06.2021 +435 Tage Advisory veröffentlicht
09.06.2021 +0 Tage VulDB Eintrag erstellt
11.06.2021 +2 Tage VulDB letzte Aktualisierung

Quelleninfoanpassen

Hersteller: https://www.qualcomm.com/

Advisory: qualcomm.com
Status: Bestätigt
Bestätigung: 🔒

CVE: CVE-2020-11298 (🔒)

Eintraginfoanpassen

Erstellt: 09.06.2021 16:22
Aktualisierung: 11.06.2021 14:43
Anpassungen: (1) source_cve_cna
Komplett: 🔍

Kommentare

Might our Artificial Intelligence support you?

Check our Alexa App!