CVE-2023-28578 — 神龙十问 AI 深度分析摘要

🚨 **本质**：高通芯片组核心服务内存损坏。 💥 **后果**：执行删除事件监听器命令时触发，导致系统崩溃或异常。

🔍 **CWE**：CWE-20（输入验证不当）。 📍 **缺陷点**：核心服务在处理**单个事件监听器删除**操作时，未正确验证或处理内存。

📱 **厂商**：Qualcomm, Inc.（高通）。 🔧 **产品**：Snapdragon（骁龙）系列芯片组。

🛡️ **权限**：CVSS评分极高（C:H/I:H/A:H）。 💾 **数据**：可能导致**机密性**、**完整性**和**可用性**全面受损，甚至远程代码执行风险。

🚪 **门槛**：攻击向量 AV:L（本地）。 🔑 **条件**：无需认证（PR:N），无需用户交互（UI:N），攻击复杂度低（AC:L）。

📦 **Exp**：数据中 **pocs** 为空数组。 🌍 **利用**：暂无公开 PoC 或确认的在野利用报告。

🔎 **自查**：检查设备是否使用 **Qualcomm Snapdragon** 芯片。 📋 **扫描**：关注高通官方安全公告，确认固件版本是否受影响。

🩹 **补丁**：已发布。 📅 **时间**：2024年3月4日。 🔗 **来源**：高通2024年3月安全公告。

⚠️ **规避**：若无补丁，建议**限制本地访问权限**。 🛑 **缓解**：由于是本地漏洞，物理接触限制是关键临时措施。

🔥 **优先级**：**高**。 📈 **理由**：CVSS向量显示影响范围极广（S:C），且利用条件宽松，建议立即更新固件。