CVE-2023-28574 — 神龙十问 AI 深度分析摘要

🚨 **本质**：高通芯片组核心服务内存损坏。 💥 **后果**：配置事件监听器时触发，导致系统崩溃或异常。

🔍 **CWE**：CWE-20（输入验证不当）。 📍 **缺陷点**：Diag 处理程序接收命令时，核心服务未正确处理导致内存损坏。

📱 **厂商**：Qualcomm, Inc. (高通)。 🧩 **产品**：Snapdragon 系列芯片组。

🛡️ **权限**：本地访问即可。 💾 **数据**：虽未直接提及数据泄露，但 **I:H (完整性)** 和 **A:H (可用性)** 意味着可篡改系统或导致服务中断。

🔑 **认证**：PR:N (无需特权)。 👤 **用户交互**：UI:N (无需用户操作)。 📡 **攻击向量**：AV:L (本地)。 ⚡ **结论**：门槛中等，需本地接触或恶意应用注入。

📦 **PoC**：数据中 **pocs** 为空数组。 🌍 **在野**：未提及在野利用情况。

🔎 **自查**：检查设备是否使用受影响的高通 Snapdragon 芯片组。 📋 **扫描**：关注 Qualcomm 官方安全公告中的受影响列表。

🩹 **补丁**：参考 Qualcomm 2023年11月安全公告。 🔗 **链接**：https://www.qualcomm.com/company/product-security/bulletins/november-2023-bulletin

⚠️ **规避**：限制本地应用权限，防止恶意软件调用 Diag 接口。 🚫 **隔离**：避免安装来源不明的应用，减少本地攻击面。

🔥 **优先级**：高。 📅 **CVSS**：本地攻击，无需权限，影响完整性和可用性。 💡 **建议**：立即查阅官方公告并更新固件/芯片驱动。