Yn Qualcomm's draadloze chipstapel trije kwetsberens presintearre ûnder de koadenamme "QualPwn". It earste probleem (CVE-2019-10539) lit Android-apparaten op ôfstân oanfallen wurde fia Wi-Fi. It twadde probleem is oanwêzich yn 'e proprietêre firmware mei de Qualcomm draadloze stack en jout tagong ta it basisbandmodem (CVE-2019-10540). Tredde probleem yn 'e icnss-bestjoerder (CVE-2019-10538) en makket it mooglik om de útfiering fan syn koade te berikken op it kernelnivo fan it Android-platfoarm. As in kombinaasje fan dizze kwetsberens mei súkses wurdt eksploitearre, kin de oanfaller op ôfstân kontrôle krije oer it apparaat fan in brûker wêrop Wi-Fi aktyf is (de oanfal fereasket dat it slachtoffer en de oanfaller ferbûn binne mei itselde draadloze netwurk).
De oanfalsmooglikheid waard oantoand foar Google Pixel2 en Pixel3 smartphones. Ûndersikers skatte dat it probleem potinsjeel beynfloedet mear as 835 tûzen apparaten basearre op de Qualcomm Snapdragon 835 SoC en nijere chips (begjinnend mei de Snapdragon 835, de WLAN firmware waard yntegrearre mei de modem subsysteem en rûn as in isolearre applikaasje yn brûkersromte). Troch Qualcomm, it probleem hat ynfloed op ferskate tsientallen ferskillende chips.
Op it stuit is allinich algemiene ynformaasje oer kwetsberens beskikber, en details wurde iepenbiere op 8 augustus op de Black Hat konferinsje. Qualcomm en Google waarden yn maart ynformearre oer de problemen en hawwe al reparaasjes frijlitten (Qualcomm ynformearre oer de problemen yn , en Google hat kwetsberens fêstlein yn Android platfoarm update). Alle brûkers fan apparaten basearre op Qualcomm-chips wurde oanrikkemandearre om de beskikbere updates te ynstallearjen.
Neist problemen yn ferbân mei Qualcomm-chips elimineert de augustus-fernijing nei it Android-platfoarm ek in krityske kwetsberens (CVE-2019-11516) yn 'e Broadcom Bluetooth-stapel, wêrtroch in oanfaller har koade kin útfiere yn' e kontekst fan in befoarrjochte proses troch it ferstjoeren fan in spesjaal makke fersyk foar gegevensferfier. In kwetsberens (CVE-2019-2130) is oplost yn Android-systeemkomponinten dy't koade útfiere kinne mei ferhege privileezjes by it ferwurkjen fan spesjaal makke PAC-bestannen.
Boarne: opennet.ru