拼多多、美团骑手、货拉拉……被利用干这种勾当；|高通产品被发现存在 20 个漏洞，其中包括一个潜在的...

本案是典型的刷单诈骗。诈骗分子通过小恩小惠（洗衣液、AD钙奶、58.8元红包）骗取刘阿姨信任，待其开始充值任务后，便谎称刘阿姨操作失误，利用其不愿意连累他人的愧疚心理，让其多次取款、送钱，以此完成诈骗赃款的洗白，直至刘阿姨发觉被骗！

寿光公安提醒

所有的网上兼职刷单都是诈骗！

不要轻易相信网上的陌生人，

尤其是要带你赚钱的，一定是骗子！

不要点击陌生人发来的链接，更不能下载其推荐的APP！

最重要的一点：

不要给陌生人转账汇款、取款（送钱）！

高通公司解决了其产品中的 20 个漏洞，包括一个潜在的零日问题，该问题被追踪为 CVE-2024-43047（CVSS 得分 7.8）。

该漏洞源于一个可导致内存损坏的 “释放后使用”（use-after-free）错误。

该零日漏洞存在于数字信号处理器（DSP）服务中，影响数十种芯片组。

“目前，DSP 使用未使用的 DMA 句柄 fds 更新头缓冲区。在 put_args 部分，如果头缓冲区中存在任何 DMA 句柄 FD，就会释放相应的映射。不过，由于头缓冲区是以无符号 PD 的形式暴露给用户的，因此用户可以更新无效的 FD。如果该无效 FD 与任何已在使用中的 FD 相匹配，则可能导致免费使用（UAF）漏洞。“作为解决方案，为 DMA FD 添加 DMA 句柄引用，只有在找到引用时才释放 FD 的映射。

谷歌零项目的网络安全研究人员塞斯-詹金斯（Seth Jenkins）和国际特赦组织安全实验室的王聪慧（Conghui Wang）报告了这一漏洞。詹金斯希望建议尽快在安卓设备上解决这个问题。

谷歌威胁分析小组声称，CVE-2024-43047 可能受到有限的、有针对性的利用，Wang 也证实了野外活动。

“谷歌威胁分析小组有迹象表明，CVE-2024-43047 可能正受到有限的、有针对性的利用。”该公司的公告中写道。“针对影响 FASTRPC 驱动程序问题的补丁已提供给 OEM 厂商，并强烈建议尽快在受影响的设备上部署更新。有关特定设备补丁状态的详细信息，请联系您的设备制造商。

研究人员还没有公布利用 CVE-2024-43047 进行攻击的细节，不过，报告机构以调查与商业间谍软件供应商有关的网络攻击而闻名。

以下是受此漏洞影响的芯片组：