Компания Qualcomm Technologies, Inc. опубликовала срочный бюллетень безопасности, предупреждая пользователей о нескольких критических уязвимостях. Эти недостатки безопасности затрагивают миллионы устройств по всему миру. Наиболее серьёзная из них ставит под угрозу процесс безопасной загрузки. Этот фундаментальный механизм защиты призван предотвращать запуск вредоносного программного обеспечения во время старта устройства.
Детали уязвимостей
Обновление безопасности, выпущенное сегодня, устраняет шесть уязвимостей высокой важности, обнаруженных в проприетарном программном обеспечении Qualcomm. Среди них выделяется CVE-2025-47372. Эта угроза получила наивысший рейтинг безопасности компании из-за потенциального воздействия на процесс загрузки.
Уязвимость CVE-2025-47372 была классифицирована с рейтингом безопасности "Критический" и таким же рейтингом по шкале CVSS (Common Vulnerability Scoring System, система оценки уязвимостей). Это указывает на её исключительную опасность. Данная уязвимость затрагивает область технологии загрузки, которая контролирует, как устройства запускаются и загружают свои операционные системы. В случае эксплуатации злоумышленники потенциально могут обходить проверки безопасности, устанавливать постоянное вредоносное программное обеспечение или получать несанкционированный контроль над уязвимыми устройствами ещё до загрузки операционной системы.
Важно отметить, что эта брешь была обнаружена внутренней командой безопасности Qualcomm. Такой подход демонстрирует проактивную позицию компании в выявлении угроз. Однако данное открытие также вызывает вопросы о том, как долго уязвимость могла существовать в уже выпущенных устройствах до её обнаружения.
Помимо критической уязвимости в процессе загрузки, Qualcomm раскрыла информацию о пяти других значительных недостатках безопасности. CVE-2025-47319 затрагивает HLOS (High-Level Operating System, высокоуровневая операционная система) с критическим рейтингом безопасности, хотя её рейтинг CVSS оценивается как средний. Эта внутренняя находка может повлиять на функциональность операционной системы устройства.
Уязвимость CVE-2025-47325 нацелена на микропрограммное обеспечение доверенной зоны (TZ Firmware). Её сообщили внешние исследователи безопасности Ник Тиммерс и Кристофаро Мьюн из компании Raelize 3 сентября 2025 года. Эта высокооценённая уязвимость подчёркивает ценность сотрудничества между производителями и независимыми экспертами.
Дополнительные уязвимости высокой степени серьёзности были обнаружены в аудиосистемах (CVE-2025-47323), сервисах цифровых сигнальных процессоров (DSP services, CVE-2025-47350) и функциональности камеры (CVE-2025-47387). Все они также были выявлены внутренними силами.
В настоящее время Qualcomm активно распространяет патчи безопасности среди производителей оригинального оборудования (OEMs) и настоятельно рекомендует немедленно развернуть их на всех выпущенных устройствах. Компания подчеркнула, что производителям устройств следует расставить приоритеты в установке этих обновлений из-за их высокой значимости. Пользователям, обеспокоенным безопасностью своих устройств, рекомендуется напрямую обращаться к производителям для уточнения доступности исправлений и графика обновлений.
Для связи по вопросам, связанным с этим бюллетенем безопасности, компания установила специальный адрес электронной почты. Этот инцидент в очередной раз подчёркивает постоянные проблемы, с которыми сталкивается технологическая индустрия в поддержании безопасности устройств в рамках сложных экосистем аппаратного и программного обеспечения. Успешная эксплуатация подобных уязвимостей на низком уровне может сделать традиционные средства защиты, работающие на уровне операционной системы, неэффективными. Следовательно, своевременная установка обновлений микропрограмм от производителя устройства остаётся ключевым методом защиты.
