Qualcomm-ийн утасгүй чип стек дээр "QualPwn" кодын дор гурван эмзэг байдлыг харуулсан. Эхний дугаар (CVE-2019-10539) нь Android төхөөрөмжүүдэд Wi-Fi-аар алсаас халдлага хийх боломжийг олгодог. Хоёрдахь асуудал нь Qualcomm утасгүй стек бүхий хувийн програм хангамжид байгаа бөгөөд үндсэн зурвасын модемд (CVE-2019-10540) хандах боломжийг олгодог. Гурав дахь асуудал icnss драйвер (CVE-2019-10538) дээр суулгаж, Android платформын цөмийн түвшинд өөрийн кодыг гүйцэтгэх боломжтой болгодог. Хэрэв эдгээр эмзэг байдлын хослолыг амжилттай ашиглавал халдагч Wi-Fi идэвхтэй байгаа хэрэглэгчийн төхөөрөмжийг алсаас хянах боломжтой (халдлагад хохирогч болон халдагчид нэг утасгүй сүлжээнд холбогдсон байх шаардлагатай).
Google Pixel2 болон Pixel3 ухаалаг гар утсанд халдлага хийх чадварыг харуулсан. Судлаачдын тооцоолсноор уг асуудал Qualcomm Snapdragon 835 SoC болон шинэ чипүүд дээр суурилсан 835 мянга гаруй төхөөрөмжид нөлөөлж болзошгүй гэж үзэж байна (Snapdragon 835-аас эхлэн WLAN программ хангамж нь модемийн дэд системтэй нэгтгэгдэж, хэрэглэгчийн орон зайд тусгаарлагдсан програм хэлбэрээр ажиллаж байсан). By Qualcomm, асуудал нь хэдэн арван өөр чипүүдэд нөлөөлдөг.
Одоогоор зөвхөн эмзэг байдлын талаарх ерөнхий мэдээлэл байгаа бөгөөд дэлгэрэнгүй мэдээлэл байна 8-р сарын XNUMX-нд болох Хар малгайт хурлын үеэр илчлэгдэх болно. Гуравдугаар сард Qualcomm болон Google-д асуудлын талаар мэдэгдэж, засваруудыг аль хэдийн гаргасан байна (Qualcomm-д асуудлын талаар мэдээлэл өгсөн. , мөн Google-ийн сул талуудыг зассан Android платформын шинэчлэл). Qualcomm чип дээр суурилсан төхөөрөмжүүдийн бүх хэрэглэгчид боломжтой шинэчлэлтүүдийг суулгахыг зөвлөж байна.
Qualcomm чиптэй холбоотой асуудлаас гадна Android платформын 2019-р сарын шинэчлэлт нь Broadcom Bluetooth стек дэх чухал эмзэг байдлыг (CVE-11516-2019) арилгадаг бөгөөд энэ нь халдагчид өөрийн кодыг давуу эрх бүхий процессын хүрээнд гүйцэтгэх боломжийг олгодог. тусгайлан боловсруулсан өгөгдөл дамжуулах хүсэлт илгээх. Android системийн бүрэлдэхүүн хэсгүүдэд тусгайлан боловсруулсан PAC файлуудыг боловсруулах үед өндөр эрхтэйгээр код гүйцэтгэх боломжийг олгодог эмзэг байдлыг (CVE-2130-XNUMX) шийдвэрлэсэн.
Эх сурвалж: opennet.ru