Исправлены две опасные уязвимости в микропроцессорах Qualcomm

Накануне вышел августовский пакет обновлений безопасности для ОС Android. Помимо прочего, он содержит исправления двух опасных уязвимостей в SoC (системах на кристалле, System-on-a-Chip) от ведущего производителя Qualcomm. Уязвимости CVE-2019-10538 и CVE-2019-10540, объединенные общим названием QualPwn, были обнаружены специалистами китайской компании Tencent. Обе они связаны с переполнением буфера и потенциально позволяют удаленное исполнение произвольного кода с последующим установлением контроля над уязвимым устройством. Для этого злоумышленник должен быть подключен к той же сети wi-fi, что и жертва, причем атака не подразумевает каких-либо действий со стороны пользователя.

Наличие и возможность эксплуатации уязвимостей были продемонстрированы исследователями Tencent на смартфонах Google Pixel 2 и 3, использующих SoC Snapdragon 835 и Snapdragon 845. При этом список уязвимых чипов значительно шире, по словам китайских специалистов, он включает чипсеты IPQ8074, MSM8996AU, QCA6174A, QCA6574AU, QCA8081, QCA9377, QCA9379, QCS404, QCS405, QCS605, SD 636, SD 665, SD 675, SD 712, SD 710, SD 670, SD 730, SD 820, SD 835, SD 845, SD 850, SD 855, SD 8CX, SDA660, SDM630, SDM660 и SXR1130. Это означает, что и число потенциально уязвимых устройств весьма велико. К сожалению, из-за разветвленности экосистемы Android не все пользователи могут надеяться на скорое получение обновлений безопасности. Эти обновления уже доступны владельцам смартфонов и планшетов от Google, поэтому нет сомнений, что в ближайшее время к ним присоединятся и другие ведущие производители Android-устройств. С более мелкими производителями ситуация намного сложнее: нередки случаи, когда пользователям приходится ждать исправления уже известных уязвимостей на протяжении нескольких недель и даже месяцев.

Источник: Bleeping Computer