Qualcomm – Biuletyn bezpieczeństwa 06/2026. (P26-211)

utworzone przez | cze 2, 2026 | Podatności

Na początku czerwca 2026 roku firma Qualcomm opublikowała kolejny miesięczny biuletyn bezpieczeństwa, zawierający zestaw podatności wykrytych w jej rozwiązaniach sprzętowych i programowych. Dokument ten ma kluczowe znaczenie dla producentów urządzeń mobilnych oraz administratorów systemów, ponieważ dotyczy komponentów powszechnie wykorzystywanych w smartfonach, tabletach oraz urządzeniach IoT.

W najnowszym wydaniu znalazły się zarówno luki o wysokim, jak i krytycznym poziomie zagrożenia, obejmujące m.in. Secure Processor, DSP oraz warstwę systemową HLOS. W wielu przypadkach podatności mogą prowadzić do poważnych konsekwencji, takich jak naruszenie pamięci, eskalacja uprawnień czy nawet trwałe przejęcie kontroli nad urządzeniem.

Szczególnie istotne jest to, że poprawki bezpieczeństwa są dystrybuowane do producentów sprzętu (OEM), co oznacza, że ostateczny poziom ochrony użytkownika zależy od tempa ich wdrażania w aktualizacjach systemowych. W praktyce powoduje to, że podatności mogą pozostawać aktywne na wielu urządzeniach przez dłuższy czas, mimo dostępności poprawek.

Najważniejsze podatności

 Secure Processor – krytyczne błędy pamięci

CVE-2026-25276, CVE-2026-25277 (Critical)

Najpoważniejsze podatności dotyczą Secure Processor – komponentu odpowiedzialnego za obsługę wrażliwych operacji, takich jak zarządzanie kluczami kryptograficznymi.

  • typ błędu: memory corruption (uszkodzenie pamięci)
  • przyczyna: brak walidacji zakresów (bounds checking)
  • możliwe skutki:
    • naruszenie integralności pamięci
    • eskalacja uprawnień
    • dostęp do danych chronionych

Przykładowo, CVE-2026-25276 opisuje sytuację, w której dochodzi do uszkodzenia pamięci podczas korzystania z funkcji Strongbox.

 DSP Service – liczne podatności wysokiego ryzyka

CVE-2026-25258, CVE-2026-25259, CVE-2026-25260 (High)

Podatności w DSP dotyczą przetwarzania sygnałów (np. audio, wideo), co czyni je szczególnie niebezpiecznymi.

  • typ: głównie błędy pamięci i przetwarzania danych
  • możliwe skutki:
    • awarie systemu (DoS)
    • potencjalne wykonanie kodu
    • eskalacja uprawnień

DSP jest często dostępny z poziomu aplikacji multimedialnych, co zwiększa powierzchnię ataku.

 Boot i kryptografia – brak autoryzacji

CVE-2026-24088 (High)

Jedna z groźniejszych podatności dotyczy procesu uruchamiania systemu:

  • typ: brak autoryzacji + błąd kryptograficzny
  • opis: możliwość zapisu własnego bootloadera
  • skutki:
    • trwałe przejęcie urządzenia
    • obejście mechanizmu secure boot

W praktyce umożliwia to atak typu persistence na poziomie firmware.

 HLOS – podatności w systemie operacyjnym

CVE-2025-59605, CVE-2025-59606 (High)

Podatności w warstwie systemowej (Android/Linux):

  • typ: błędy logiczne i bezpieczeństwa
  • skutki:
    • eskalacja uprawnień
    • dostęp do danych użytkownika

Ze względu na położenie w architekturze systemu są to luki o wysokim znaczeniu praktycznym.

 Qualcomm Software Center

CVE-2026-25264, CVE-2026-25265 (High)

  • obszar: komponent zarządzania oprogramowaniem
  • możliwe skutki:
    • nadużycie funkcji systemowych
    • potencjalna kompromitacja systemu

 Inne podatności wysokiego ryzyka

  • CVE-2025-59604 (SPS Applications) – potencjalne zakłócenia działania systemu
  • dodatkowe błędy w firmware i usługach systemowych

Podatności o średnim poziomie ryzyka

W biuletynie uwzględniono również luki oznaczone jako Medium, m.in.:

  • CVE-2025-59611–59614 – komponenty Windows Compute
  • CVE-2025-59601 – firmware komunikacji

Ich wpływ jest ograniczony, jednak nadal wymagają aktualizacji i uwagi administratorów.