Qualcomm جي وائرليس چپ اسٽيڪ ۾ "QualPwn" ڪوڊ جي نالي هيٺ پيش ڪيل ٽي ڪمزوريون. پهريون مسئلو (CVE-2019-10539) Android ڊوائيسز کي وائي فائي ذريعي ريموٽ تي حملو ڪرڻ جي اجازت ڏئي ٿو. ٻيو مسئلو Proprietary firmware ۾ موجود آهي Qualcomm وائرليس اسٽيڪ سان ۽ بيس بينڊ موڊيم تائين رسائي جي اجازت ڏئي ٿو (CVE-2019-10540). ٽيون مسئلو icnss ڊرائيور ۾ (CVE-2019-10538) ۽ اهو ممڪن بڻائي ٿو ته ان جي ڪوڊ جي عمل کي Android پليٽ فارم جي ڪرنل سطح تي حاصل ڪري. جيڪڏهن انهن خطرن جو هڪ ميلاپ ڪاميابيءَ سان استعمال ڪيو وڃي ٿو، حملو ڪندڙ هڪ صارف جي ڊوائيس جو ريموٽ ڪنٽرول حاصل ڪري سگهي ٿو جنهن تي وائي فائي فعال آهي (حملي جي ضرورت آهي ته مقتول ۽ حملو ڪندڙ هڪ ئي وائرليس نيٽ ورڪ سان ڳنڍيل هجي).
حملي جي صلاحيت Google Pixel2 ۽ Pixel3 اسمارٽ فونز لاءِ ڏيکاري وئي. محققن جو اندازو آهي ته اهو مسئلو ممڪن طور تي 835 هزار ڊوائيسز کان وڌيڪ متاثر ڪري ٿو Qualcomm Snapdragon 835 SoC ۽ نئين چپس (Snapdragon 835 سان شروع ٿيندڙ، WLAN فرم ویئر موڊيم سبسسٽم سان ضم ٿي ويو ۽ صارف جي جاءِ ۾ هڪ الڳ ٿيل ايپليڪيشن جي طور تي هليو ويو). پاران Qualcomm، مسئلو ڪيترن ئي درجن مختلف چپس کي متاثر ڪري ٿو.
في الحال، صرف نقصانن بابت عام معلومات موجود آهي، ۽ تفصيل 8 آگسٽ تي بليڪ هٽ ڪانفرنس ۾ پڌرو ڪيو ويندو. Qualcomm ۽ گوگل کي مارچ ۾ مسئلن جي اطلاع ڏني وئي ۽ اڳ ۾ ئي فيڪس جاري ڪيا ويا آهن (Qualcomm جي مسئلن بابت ڄاڻ ، ۽ گوگل ۾ ڪمزورين کي مقرر ڪيو آهي Android پليٽ فارم تازه ڪاري). Qualcomm چپس تي ٻڌل ڊوائيسز جي سڀني صارفين کي دستياب تازه ڪاريون نصب ڪرڻ جي صلاح ڏني وئي آهي.
Qualcomm چپس سان لاڳاپيل مسئلن کان علاوه، Android پليٽ فارم تي آگسٽ جي تازه ڪاري پڻ براڊ ڪام بلوٽوت اسٽيڪ ۾ هڪ نازڪ ڪمزوري (CVE-2019-11516) کي ختم ڪري ٿي، جيڪو هڪ حملي ڪندڙ کي اجازت ڏئي ٿو ته انهن جي ڪوڊ کي هڪ مراعات يافته عمل جي حوالي سان. خاص طور تي تيار ڪيل ڊيٽا جي منتقلي جي درخواست موڪلڻ. هڪ ڪمزوري (CVE-2019-2130) کي حل ڪيو ويو آهي Android سسٽم جي اجزاء ۾ جيڪو خاص طور تي تيار ڪيل PAC فائلن جي پروسيسنگ دوران اعليٰ مراعات سان ڪوڊ تي عمل ڪرڻ جي اجازت ڏئي سگهي ٿو.
جو ذريعو: opennet.ru