遇到过哪些安全漏洞？如何修复？

高通汽车系统遇到过以下安全漏洞：

• CVE-2022-33219：这是汽车缓冲区溢出的整数溢出漏洞，CVSS得分9.3。漏洞成因是在向共享缓冲区注册新侦听器时，由于整数溢出导致缓冲区溢出，进而造成汽车中的内存损坏。
• CVE-2022-33218：该漏洞是由于输入验证不当而导致的汽车内存损坏，CVSS得分8.2。
• CVE-2022-33265：属于电力线通信固件中的信息暴露漏洞，CVSS得分7.3。
• CVE-2024-43047：这是2024年10月高通公司发布安全警告中提到的零日漏洞。该漏洞源于数字信号处理器（DSP）服务中的使用后释放错误，可能导致内存损坏，CVSS评分为7.8。此漏洞影响到高通多个系列共计64款芯片组，包括一些车规级芯片如8195、8295等。

针对这些漏洞，通常采取以下修复措施：

• 及时更新补丁：高通公司会在发现漏洞后迅速推出安全补丁，设备制造商需密切关注高通的最新动态，及时获取并应用相关补丁到汽车系统中。例如，在CVE-2024-43047漏洞被发现后，高通就向原始设备制造商（OEM）提供了针对受影响的FASTRPC驱动程序的补丁，厂商应尽快在受影响设备上部署更新。对于CVE-2022-33219、CVE-2022-33218、CVE-2022-33265等漏洞，联想等相关厂商也发布了安全更新来修复漏洞，如联想将ThinkPad X13s BIOS更新到1.47版本来修复相关漏洞。
• 建立安全更新机制：汽车系统应支持安全OTA（空中下载技术）更新，通过加密通道传输更新包，并结合哈希校验和数字签名确保更新的完整性，避免中间人攻击，以便及时将修复补丁推送给用户，降低漏洞被利用的风险。
• 持续漏洞扫描与监测：使用静态代码分析工具（如Coverity）、动态模糊测试工具（如AFL）等检测软件漏洞，集成高通AutoSAR安全解决方案的预验证组件，持续监测系统，及时发现新出现的漏洞或未被彻底修复的漏洞。同时，部署车载安全监测代理，实时采集系统日志，通过云端威胁情报平台（如高通AI Security Analytics）分析异常行为，识别零日漏洞攻击。