Sa Qualcomm's wireless chip stack tulo ka mga kahuyangan nga gipresentar ubos sa code name nga "QualPwn". Ang unang isyu (CVE-2019-10539) nagtugot sa mga Android device nga layo nga atakehon pinaagi sa Wi-Fi. Ang ikaduha nga problema naa sa proprietary firmware nga adunay Qualcomm wireless stack ug gitugotan ang pag-access sa baseband modem (CVE-2019-10540). Ikatulo nga problema sa icnss driver (CVE-2019-10538) ug gipaposible nga makab-ot ang pagpatuman sa code niini sa lebel sa kernel sa Android platform. Kung ang kombinasyon niining mga kahuyangan malamposong mapahimuslan, ang tig-atake mahimong layo nga makakontrol sa device sa user diin ang Wi-Fi aktibo (ang pag-atake nagkinahanglan nga ang biktima ug ang tig-atake konektado sa samang wireless network).
Ang katakus sa pag-atake gipakita alang sa Google Pixel2 ug Pixel3 nga mga smartphone. Gibanabana sa mga tigdukiduki nga ang problema mahimo’g makaapekto sa labaw sa 835 ka libo nga mga aparato nga gibase sa Qualcomm Snapdragon 835 SoC ug mas bag-ong mga chips (sugod sa Snapdragon 835, ang WLAN firmware gisagol sa modem subsystem ug midagan ingon usa ka nahilit nga aplikasyon sa wanang sa gumagamit). Pinaagi sa Qualcomm, ang problema nakaapekto sa daghang dosena nga lainlaing mga chips.
Sa pagkakaron, ang kinatibuk-ang impormasyon lamang mahitungod sa mga kahuyangan ang anaa, ug mga detalye nga ipadayag sa Agosto 8 sa Black Hat conference. Gipahibalo sa Qualcomm ug Google ang mga problema kaniadtong Marso ug gipagawas na ang mga pag-ayo (gipahibalo sa Qualcomm bahin sa mga problema sa , ug ang Google adunay giayo nga mga kahuyangan sa Pag-update sa plataporma sa Android). Ang tanan nga mga tiggamit sa mga aparato nga gibase sa Qualcomm chips girekomenda nga i-install ang magamit nga mga update.
Dugang pa sa mga isyu nga may kalabutan sa Qualcomm chips, ang pag-update sa Agosto sa Android nga plataporma nagwagtang usab sa usa ka kritikal nga kahuyangan (CVE-2019-11516) sa Broadcom Bluetooth stack, nga nagtugot sa usa ka tig-atake nga ipatuman ang ilang code sa konteksto sa usa ka pribilihiyo nga proseso pinaagi sa pagpadala sa usa ka espesyal nga gihimo nga hangyo sa pagbalhin sa datos. Ang usa ka kahuyang (CVE-2019-2130) nasulbad sa mga sangkap sa sistema sa Android nga mahimong magtugot sa pagpatuman sa code nga adunay taas nga mga pribilehiyo sa pagproseso sa espesyal nga gihimo nga mga file sa PAC.
Source: opennet.ru