Qualcomm опубликовала предупреждение о серии критических уязвимостей, затрагивающих миллионы устройств по всему миру. Самая серьёзная из них связана с механизмом Secure Boot — ключевым компонентом, который должен защищать устройство от установки зловредов ещё на этапе включения. Компания сообщила, что в её проприетарном ПО обнаружено шесть высокоприоритетных дыр.
Наиболее опасной признана CVE-2025-47372 — она получила максимальную оценку по внутренней системе и критический уровень опасности по CVSS.
Проблема затрагивает процесс загрузки устройства: в случае успешной атаки злоумышленники могут обходить защитные проверки и внедрять устойчивые вредоносы, получая контроль над устройством ещё до запуска операционной системы.
Уязвимость нашли специалисты самой Qualcomm, однако это поднимает вопрос о том, насколько долго она могла существовать в миллионах уже выпущенных устройств.
Помимо критической ошибки в Secure Boot, Qualcomm сообщила и о других брешах:
- CVE-2025-47319 — затрагивает HLOS, также имеет критический уровень по внутренней оценке.
- CVE-2025-47325 — проблема в TZ Firmware, обнаруженная сторонними экспертами из Raelize.
- CVE-2025-47323, CVE-2025-47350 и CVE-2025-47387 — баги высокой степени риска в аудиосистемах, службах DSP и камере соответственно.
Qualcomm уже передаёт патчи производителям оборудования и настоятельно рекомендует установить их как можно быстрее, особенно учитывая потенциальные последствия.
Пользователям компания советует связаться с производителем своих устройств, чтобы узнать, когда выйдут соответствующие обновления. Для вопросов, связанных с бюллетенем, открыт специальный контактный адрес.
Ситуация в очередной раз показывает, насколько сложно обеспечивать безопасность устройств в условиях постоянно усложняющихся аппаратных и программных экосистем.
