В Банке данных угроз безопасности информации (BDU) появилась новая запись под номером BDU:2025-15426. Она описывает критическую уязвимость в микропрограммном обеспечении (firmware) целого ряда встраиваемых платформ от Qualcomm Technologies Inc. Проблема связана с классическим переполнением буфера. Конкретно, речь идёт о копировании данных в буфер без предварительной проверки их размера. В результате злоумышленник потенциально может получить несанкционированный доступ к защищаемой информации, хранящейся или обрабатываемой на уязвимых устройствах.
Детали узявимости
Данная уязвимость затрагивает микропрограммный код более двадцати различных платформ и чипсетов Qualcomm. Среди них такие модели, как SA8770P, QCA6678AQ, SA8650P, QCA6696 и другие. Эти компоненты широко применяются в различных отраслях. Например, они могут использоваться в автомобильных телематических системах, промышленных контроллерах, сетевом оборудовании и IoT-устройствах. Таким образом, потенциальная область воздействия уязвимости весьма обширна, хотя точный перечень конечных продуктов и операционных систем ещё уточняется.
Технически ошибка классифицируется как CWE-120. Этот распространённый тип уязвимости возникает, когда программа доверяет внешним входным данным и копирует их в выделенную область памяти фиксированного размера без проверки длины. Если злонамеренные (malicious) данные превышают ёмкость буфера, они могут перезаписать соседние участки памяти. Эксперты отмечают, что подобные ошибки часто становятся отправной точкой для выполнения произвольного кода. В данном случае способ эксплуатации уязвимости связан с манипулирование структурами данных.
Оценка критичности уязвимости по разным версиям системы CVSS даёт противоречивые результаты. Базовая оценка по устаревшей методологии CVSS 2.0 составляет 6.6 баллов, что соответствует среднему уровню опасности. Однако современная оценка по CVSS 3.1 присваивает уязвимости 9.0 баллов из 10, что является критическим уровнем. Такое расхождение связано с эволюцией методологии оценки. Высокий балл CVSS 3.1 обусловлен сочетанием факторов: атака не требует привилегий (PR:N) или взаимодействия с пользователем (UI:N), а её последствия затрагивают конфиденциальность и целостность данных (C:H/I:H). Кроме того, указывается, что уязвимость может влиять на компоненты за пределами безопасности самого уязвимого компонента (S:C).
Производитель, компания Qualcomm, уже подтвердил наличие проблемы и сообщил о её устранении. Информация об уязвимости была опубликована в ежемесячном бюллетене безопасности за декабрь 2025 года. Соответственно, единственным надёжным способом защиты является обновление микропрограммного обеспечения до версий, в которых эта ошибка исправлена. Специалистам по информационной безопасности и администраторам, отвечающим за устройства на базе затронутых платформ Qualcomm, настоятельно рекомендуется изучить бюллетень и применить необходимые патчи.
На текущий момент нет подтверждённых данных о наличии в открытом доступе эксплойта, использующего эту уязвимость. Однако её критический характер по CVSS 3.1 делает вероятным появление таких инструментов в будущем. Следовательно, окно для применения обновлений может быть ограниченным. Важно подчеркнуть, что эксплуатация уязвимостей в микропрограммном обеспечении часто сложнее, чем в прикладном ПО. Тем не менее, угроза остаётся серьёзной, особенно для устройств, работающих в критически важных или изолированных инфраструктурах, где обновления проводятся нерегулярно.
Эта ситуация в очередной раз демонстрирует важность управления уязвимостями на всех уровнях технологического стека, включая аппаратную часть и firmware. Проактивный мониторинг источников, таких как BDU и бюллетени вендоров, является ключевой практикой для своевременного реагирования. В конечном итоге, инцидент с CVE-2025-47372 (именно этот идентификатор присвоен уязвимости) служит напоминанием о том, что безопасность сложных embedded-систем требует непрерывного внимания и комплексного подхода к обновлениям.
Ссылки
- https://bdu.fstec.ru/vul/2025-15426
- https://docs.qualcomm.com/securitybulletin/december-2025-bulletin.html
