Компания Qualcomm Technologies выпустила майское обновление безопасности 2026 года, которое закрывает обширный набор уязвимостей в собственных программных компонентах и открытых библиотеках. Эти проблемы затрагивают смартфоны, автомобильные системы и промышленные устройства интернета вещей (Internet of Things, IoT). Злоумышленники могут использовать данные уязвимости без какого-либо взаимодействия с пользователем, что делает атаки особенно опасными.
Детали уязвимостей
Полупроводниковый гигант настоятельно рекомендует производителям устройств (OEM) как можно скорее установить предоставленные исправления на уже выпущенные модели. Однако из-за сложности цепочки поставок встраиваемых систем сроки появления обновлений у разных брендов будут сильно отличаться. Фактически Qualcomm передаёт код для устранения проблем, а окончательное распространение ложится на плечи Samsung, Xiaomi, LG и других вендоров.
Самой серьёзной уязвимостью признана CVE-2026-25254, получившая максимальную оценку опасности 9,8 балла по шкале CVSS. Она кроется в механизмах авторизации центра программного обеспечения Qualcomm, в частности в интерфейсе SocketIO. Атакующий, не имеющий никаких учётных данных, может удалённо выполнить произвольный код и полностью захватить управление над средой приложения.
Почти такой же уровень угрозы несёт уязвимость CVE-2026-25293 (9,6 балла) в прошивке для связи по электрическим сетям (Powerline Communication, PLC). Из-за некорректных проверок прав доступа возникает классическое переполнение буфера. Злоумышленник из той же локальной сети может запустить на устройстве вредоносную нагрузку (полезный код атаки).
Отдельного внимания заслуживает локальная уязвимость CVE-2026-25262 в первичном загрузчике (Primary Bootloader). Она относится к категории "запись-куда-указано" (write-what-where), при которой загрузчик обрабатывает специально созданный исполняемый файл формата ELF. Хотя для эксплуатации требуется физический или локальный доступ, компрометация загрузчика позволяет обойти защищённую загрузку (Secure Boot) и закрепиться в системе на уровне аппаратной прошивки. Такой метод даёт злоумышленнику практически неограниченный контроль даже после перезагрузки.
Ещё одна опасная уязвимость, CVE-2026-25255 (8,8 балла), обнаружена в менеджере пакетов Qualcomm. Из-за открытой опасной функции повышение привилегий (privilege escalation) возможно через интерфейс gRPC - протокол удалённого вызова процедур.
Обновление безопасности затрагивает не только мобильные платформы, но и автомобильные графические процессоры, а также системы беспроводной связи. В автомобильной сфере выделяется уязвимость CVE-2026-24082 (7,8 балла) - использование после освобождения (use-after-free) в открытых графических компонентах. При выполнении операций отмены счётчиков производительности система пытается скопировать данные из уже освобождённой области памяти, что приводит к её повреждению. Это может дестабилизировать работу информационно-развлекательных систем или телеметрии автомобиля.
Кроме того, в прошивке оптимизации питания WINBLAST-POWER найдена ошибка разыменования недоверенного указателя (CVE-2025-47408, 7,8 балла). Повреждение памяти возникает, когда драйвер передаёт некорректные буферы через управляющий вход-выход (IOCTL).
Беспроводные компоненты также не остались без внимания: несколько уязвимостей типа "чтение за границами буфера" (buffer over-read) в уровнях аппаратной абстракции WLAN и прошивке могут вызывать временный отказ в обслуживании (denial of service). Например, при обработке таблиц скоростей питания во время настройки канала или при разборе повреждённых кадров ответа быстрой смены точки доступа во время роуминга.
Всего в бюллетене перечислено более десятка уязвимостей разной степени серьёзности. Некоторые из них, например, в компонентах камеры или цифрового сигнального процессора, отнесены к среднему уровню, но всё равно могут приводить к повреждению памяти или утечке информации.
Специалисты подчёркивают: подавляющее большинство проблем связано с неправильной работой с памятью - переполнениями, использованием после освобождения, отсутствием проверок размеров. Это говорит о необходимости пересмотра практик безопасного программирования в коде Qualcomm.
Пользователям остаётся полагаться на производителей устройств. Компания Qualcomm уже передала патчи, но время их появления на конкретных смартфонах, планшетах и автомобильных головных устройствах будет зависеть от политики вендоров. Рекомендуется установить официальные обновления прошивки сразу после их выхода, а также следить за сообщениями от производителя устройства. Владельцам автомобилей с компонентами Qualcomm стоит обратиться в сервисные центры автобрендов. Абсолютной защиты не существует, но своевременное обновление - самый надёжный способ снизить риски.
