4月28日消息,近日英国安全机构NCC Group公布了一则重磅消息:超过40款高通芯片存在“旁路漏洞”,该漏洞可被用来窃取芯片内所储存的机密信息,并波及采用相关芯片的Android手机等相关装置。不过,在本月初,高通已经修补了去年就得知的这一漏洞。
根据高通安全公告,这一编号为CVE-2018-11976的漏洞,涉及高通芯片安全执行环境(Qualcomm Secure Execution Environment,QSEE)的椭圆曲线数码签章算法(Elliptic Curve Digital Signature Algorithm,ECDSA),将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。
它被高通列为重大漏洞,而且影响超过40款的高通芯片,可能波及多达数十亿台的Android手机及设备。
QSEE源自于Arm的TrustZone设计,TrustZone为系统单晶片的安全核心,它建立了一个隔离的安全世界来供可靠软件与机密资料使用,而其它软件则只能在一般的世界中执行,QSEE即是高通根据TrustZone所打造的安全执行环境。
虽然,NCC Group早在去年就发现了此一漏洞,并于去年3月通知了高通,但是高通却一直到今年4月才正式修补,并于近日被正式曝光。
值得注意的是,去年英特尔、AMD、Arm Cortrex系列芯片被接连爆出存在多项安全漏洞,虽然此后各家都推出了修补的补丁,但这并不代表之后就不会有类似的事件发生。当时,ARM负责人也对外表示,没有绝对也安全,芯片漏洞可能再次发生。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
原文标题:超过40款高通芯片被曝出安全漏洞,波及数十亿部手机!
文章出处:【微信号:icsmart,微信公众号:芯智讯】欢迎添加关注!文章转载请注明出处。
相关推荐
#SPF邮件伪造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 发现spf最后面跟着~all,代表有
发表于 11-21 15:39
•48次阅读
近日,高通公司发布了一项重要的安全警告,指出其多达64款芯片组中存在一项潜在的严重“零日漏洞”,编号为CVE-2024-43047。这一
发表于 10-14 15:48
•2339次阅读
漏洞扫描是一种网络安全技术,用于识别计算机系统、网络或应用程序中的安全漏洞。这些漏洞可能被恶意用户利用来获取未授权访问、数据泄露或其他形式的攻击。漏
发表于 09-25 10:25
•313次阅读
电子发烧友网站提供《内核程序漏洞介绍.pdf》资料免费下载
发表于 08-12 09:38
•0次下载
此次更新的漏洞追踪编号为CVE-2024-23296,存在于RTKit实时操作系统。据了解,已有证据显示该漏洞已被黑客用于进行攻击,通过内核读写功能可绕过内存保护机制。
发表于 05-14 14:06
•501次阅读
微软于昨日公告,承认其 4 月份发布的 Windows Server 安全补丁存在漏洞,该漏洞可能导致 LSASS 进程崩溃,进一步引发域控制器的启动问题。
发表于 05-09 16:07
•628次阅读
据悉,该漏洞允许用户在不存在的GitHub评论中上传文件并创建下载链接,包括仓库名和所有者信息。这种伪装可能使受害者误以为文件为合法资源。
发表于 04-23 14:36
•638次阅读
该问题源于URL处理软件中的CGI脚本段“/cgi-bin/ nas_sharing. CGI”,其对HTTPGET请求的处理过程存在漏洞。该漏洞
发表于 04-08 10:28
•813次阅读
这个名为CVE-2024-23204的漏洞严重程度达到7.5分(满分10分),通过利用“扩展URL”功能,规避苹果的TCC访问控制系统,进而窃取用户的照片、联系人和文件甚至复制板内容等重要信息。通过Flask程序,黑客可获取并保
发表于 02-23 10:19
•701次阅读
弗洛里安指出,该漏洞无需高级用户权限即可通过Windows 10设备使域控制器的日志服务失效。AcrosSecurity经过验证发现此漏洞同时适用于Windows 11系统,且仅需约1秒即可造成主系统崩溃
发表于 02-02 14:29
•516次阅读
苹果公司近日确认,部分设备中的图形处理器存在名为“LeftoverLocals”的安全漏洞。这一漏洞可能影响由苹果、高通、AMD和Imagination制造的多种图形处理器。根据报告,
发表于 01-18 14:26
•637次阅读
本工具是采用javafx编写,使用sqllite进行poc储存的poc管理和漏洞扫描集成化工具。主要功能是poc管理,并且采用多线程进行漏洞扫描。
发表于 01-09 11:01
•744次阅读
近日,国家信息安全漏洞库(CNNVD)公示2023年度新增技术支撑单位名单。经考核评定,聚铭网络正式入选并被授予《国家信息安全漏洞库(CNNVD)三级技术支撑单位证书》。 国家
发表于 12-21 10:14
•606次阅读
12月16日,在2023开放原子开发者大会开幕式上,开源漏洞共享平台及安全奖励计划正式发布。开放原子开源基金会秘书长冯冠霖、开源安全委员会副主席任旭东、开源漏洞信息共享项目工作委员会主席卢列文,以及
发表于 12-17 15:50
•1045次阅读
“MSL 可以消除内存安全漏洞。因此,过渡到 MSL 可能会大大降低投资于旨在减少这些漏洞或将其影响降至最低的活动的必要性。
发表于 12-12 10:29
•712次阅读
评论