Qualcomm opublikował biuletyn bezpieczeństwa na styczeń 2026, w którym opisano wiele luk w zabezpieczeniach zarówno w komponentach własnościowych, jak i open source. Dotyczą one różnych platform, w tym układów Snapdragon, systemów motoryzacyjnych, oprogramowania układowego WLAN oraz usług DSP. Luki mają wysoki lub średni poziom zagrożenia i mogą prowadzić do uszkodzeń pamięci, przepełnień bufora czy nieprawidłowej obsługi wskaźników, co w konsekwencji może umożliwić eskalację uprawnień lub spowodować odmowę usługi.
Najważniejsze luki
Biuletyn wymienia szereg poważnych problemów, głównie w HLOS, podsystemach wideo, usługach DSP oraz sterownikach kamer. Przykłady:
- Use-after-free podczas dezaktywacji HDCP.
- Dereferencja niezweryfikowanego wskaźnika w modułach wideo i kamery.
- Ponowne użycie nonce/klucza w szyfrowaniu dla platform motoryzacyjnych.
- Przepełnienia bufora i podwójne zwolnienia pamięci w DSP i komponentach graficznych.
- Nieprawidłowa walidacja indeksu tablicy w systemie Linux dla motoryzacji.
- Odczyt poza buforem w oprogramowaniu układowym WLAN.
Luki dotyczą szerokiej gamy platform Qualcomm, w tym Snapdragon (serie 4/6/8), FastConnect, QCN/QCM, QCS, QCC oraz rozwiązań motoryzacyjnych.
Zalecenia
- OEM: Zintegrować wszystkie poprawki z aktualizacjami firmware i jak najszybciej je udostępnić.
- Producenci urządzeń: Skontaktować się z Qualcomm w celu uzyskania pełnych szczegółów technicznych i wsparcia.
- Użytkownicy końcowi: Zainstalować najnowsze aktualizacje firmware, gdy tylko będą dostępne, aby zminimalizować ryzyko.
Tabela podsumowująca
| CVE | Komponent | Poziom ryzyka | Opis |
| CVE-2025-47339 | HLOS (HDCP) | Wysoki | Use-after-free podczas dezaktywacji HDCP |
| CVE-2025-47343 | Podsystem wideo | Wysoki | Dereferencja niezweryfikowanego wskaźnika |
| CVE-2025-47345 | Szyfrowanie motoryzacyjne | Wysoki | Ponowne użycie nonce/klucza |
| CVE-2025-47346 | Trusted logging | Wysoki | Zapis poza buforem |
| CVE-2025-47348 | Operacje credential | Wysoki | Użycie niezainicjalizowanej zmiennej |
| CVE-2025-47356 | Podsystem wideo | Wysoki | Podwójne zwolnienie pamięci |
| CVE-2025-47380 | Sterownik kamery | Wysoki | Dereferencja niezweryfikowanego wskaźnika |
| CVE-2025-47393 | Linux motoryzacyjny | Wysoki | Nieprawidłowa walidacja indeksu tablicy |
| CVE-2025-47395 | Firmware WLAN | Średni | Odczyt poza buforem |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny