高通公司 2023 年 1 月的安全公告解决了其骁龙套件中的 22 个软件漏洞。固件保护公司Binarly的efiXplorer团队，OPPO琥珀安全实验室的Zinuo Han，IceSword Lab的Gengjia Chen，研究人员nicolas（nicolas1993），STEALIEN的Seonung Jang和百度安全的Le Wu报告了一些漏洞。

以下是公司解决的最严重漏洞报告：

最严重的缺陷是跟踪为 CVE-2022-33219 的汽车缓冲区溢出的整数溢出（CVSS 得分 9.3）。“汽车中的内存损坏是由于整数溢出到缓冲区溢出，同时向共享缓冲区注册新侦听器。

高通公司修复的另外两个严重问题是：

• CVE-2022-33218（CVSS 得分 8.2） – 该漏洞是由于输入验证不当而导致的汽车内存损坏。

• CVE-2022-33265（CVSS 得分 7.3）– 该漏洞是电力线通信固件中的信息暴露。

这些漏洞影响了使用联想，微软和三星制造的Snapdragon芯片组的笔记本电脑和其他设备。

联想发布安全更新

1月3日，Lenovo（联想）发布安全更新，修复了ThinkPad X13s BIOS中的多个安全漏洞，本地用户可利用这些漏洞导致内存损坏或敏感信息泄露。

本次ThinkPad X13s BIOS更新中共修复了如下漏洞：

影响范围

ThinkPad X13s BIOS 版本<1.47 (N3HET75W)

目前这些漏洞已经修复，Lenovo ThinkPad X13s用户可将BIOS更新到1.47 (N3HET75W)版本。

参考来源：https://securityaffairs.com/140528/security/qualcomm-snapdragon-flaws.html