Identificados como CVE-2017-11120 e CVE-2017-11121, os dois problemas foram descobertos pelo Google Project Zero e foram divulgados publicamente em setembro de 2017.
Ambas as vulnerabilidades afetam os chips Broadcom Wi-Fi encontrados em muitos dispositivos móveis, tendo assim um impacto em toda a indústria. Ambos foram detetados nos sistemas operacionais Android e iOS em setembro do ano passado.
Ao divulgar os bugs, Gal Beniamini, especialista do Google Project Zero, explicou que um atacante dentro do alcance do Wi-Fi poderia explorar o CVE-2017-11120 para conseguir a execução de código arbitrário no dispositivo afetado.
“Upon successful execution of the exploit, a backdoor is inserted into the firmware, allowing remote read/write commands to be issued to the firmware via crafted action frames (thus allowing easy remote control over the Wi-Fi chip),” the researcher said.
“Broadcom has issued an advisory for certain Broadcom WiFi controllers used by many computer and device makers, which contain buffer overflow vulnerabilities on the adapter (not the system CPU),” Lenovo noted in an advisory last week.
A empresa diz ainda que inicialmente não estava planeado corrigir estes bugs. Estes remendos foram disponibilizados logo após a divulgação da vulnerabilidade WPA2 KRACK.