6 lipca 2026 roku Qualcomm opublikował biuletyn bezpieczeństwa zawierający informacje o podatnościach wykrytych w oprogramowaniu oraz komponentach wykorzystywanych w układach Snapdragon, FastConnect, platformach IoT, urządzeniach sieciowych oraz rozwiązaniach motoryzacyjnych. Celem publikacji jest dostarczenie producentom urządzeń (OEM) poprawek, które powinny zostać jak najszybciej wdrożone na urządzeniach znajdujących się na rynku.

W biuletynie opisano zarówno podatności dotyczące własnego oprogramowania Qualcomm, jak i komponentów open source wykorzystywanych w ekosystemie firmy. Największe zagrożenie stanowią luki sklasyfikowane jako Krytyczne oraz Wysoko Krytyczne, które mogą prowadzić do uszkodzenia pamięci, przejęcia kontroli nad urządzeniem lub wykonania nieautoryzowanych operacji.

Szczególną uwagę zwraca podatność w komponencie WLAN Host, która otrzymała status krytyczny i może być wykorzystywana zdalnie. Oprócz niej zidentyfikowano również kilka poważnych błędów związanych z obsługą pamięci, usługami DSP oraz mechanizmami kryptograficznymi.

Podobnie jak w przypadku innych producentów technologii, Qualcomm podkreśla znaczenie szybkiego wdrażania poprawek przez producentów urządzeń. Opóźnienia w aktualizacjach mogą prowadzić do sytuacji, w której znane podatności pozostają dostępne dla potencjalnych atakujących przez wiele miesięcy.

 Najważniejsze podatności

CVE-2026-25268 (WLAN Host)

Najpoważniejsza podatność opisana w biuletynie dotyczy komponentu WLAN Host. Błąd typu Stack-Based Buffer Overflow może prowadzić do uszkodzenia pamięci podczas przetwarzania nieprawidłowych konfiguracji kanałów sieci bezprzewodowej. Podatność posiada ocenę CVSS 8.8 i może być wykorzystana zdalnie, co znacząco zwiększa ryzyko ataku.

 CVE-2026-21379 (Windows Computer)

Podatność typu Buffer Over-read występuje w komponencie Windows Compute. Nieprawidłowa alokacja pamięci może prowadzić do odczytu danych spoza dozwolonego obszaru i skutkować uszkodzeniem pamięci. Wykorzystanie luki może wpłynąć na poufność, integralność oraz dostępność systemu.

CVE-2026-21383 (HLOS)

Luka dotyczy mechanizmu szyfrowania w warstwie HLOS (High Level Operating System). Problem wynika z ponownego wykorzystywania statycznego wektora inicjalizacyjnego podczas operacji AES-GCM, co osłabia bezpieczeństwo kryptograficzne. Skuteczny atak może umożliwić naruszenie poufności i integralności chronionych danych.

CVE-2026-25271 (DSP Service)

Podatność typu TOCTOU (Time-of-Check Time-of-Use Race Condition) została wykryta w usługach DSP. Problem pojawia się podczas przetwarzania parametrów wejściowych, które mogą zostać zmodyfikowane pomiędzy momentem ich sprawdzenia a użyciem. W konsekwencji może dojść do uszkodzenia pamięci i nieautoryzowanego wykonania operacji.

CVE-2025-59615 (Computer Vision)

Podatność typu Use After Free występuje w komponentach Computer Vision. Błąd synchronizacji podczas mapowania i zwalniania buforów pamięci może prowadzić do wykorzystania wcześniej zwolnionych zasobów pamięci, co skutkuje uszkodzeniem danych lub niestabilnością urządzenia.

CVE-2025-59616 (Computer Vision)

Kolejna podatność typu Use After Free związana jest z wielokrotnym wykorzystaniem tego samego deskryptora pliku bufora podczas operacji IOCTL. Nieprawidłowa obsługa pamięci może prowadzić do awarii aplikacji lub potencjalnego przejęcia kontroli nad procesem.

CVE-2025-59617 (Computer Vision)

Podatność również dotyczy komponentów Computer Vision i błędów zarządzania pamięcią. W określonych warunkach możliwe jest odwołanie do już zwolnionych obszarów pamięci, co może skutkować niestabilnością systemu oraz naruszeniem integralności danych.