Американский производитель чипов Qualcomm выпустил значительное количество исправлений безопасности для уязвимостей в своих чипах и программном обеспечении с открытым исходным кодом. Этот шаг имеет решающее значение, так как многие смартфоны Android по всему миру используют чипы Qualcomm, что делает их основной целью для потенциальных кибератак. Тем не менее, своевременная доставка этих патчей для конечных пользователей остается критическим фактором.
В своем отчете о безопасности в июне 2025 года Qualcomm подробно описал 18 патчей, касающихся различных уязвимостей. Среди них три особенно вызывают, поскольку они, как полагают, активно эксплуатировались в целевых атаках хакерства. Эти конкретные уязвимости классифицируются как эксплойты нулевого дня, что означает, что злоумышленники использовали эти недостатки, прежде чем разработчики имели патч.
Согласно группе анализа угроз Google (TAG), эти три уязвимости в нулевом дне влияют на графические процессоры Adreno (GPU), обнаруженные в чипах Qualcomm. Эти графические процессоры интегрированы в широкий спектр глобально используемых смартфонов от таких производителей, как Samsung, Xiaomi и OnePlus.
Две уязвимости, влияющие на стержень микроронода Адрено, от неправильного авторизации, что может привести к повреждению памяти. Они считаются очень опасными, что отражается на их оценке CVSS 8,6. Третья уязвимость описывается как ошибка «использование после свободного» в памяти графического процессора. Этот тип ошибки возникает, когда память не очищена должным образом после того, как она больше не нужна, потенциально вызывая сбои или, в сообщении, коррупция памяти при рендеринге графики с использованием драйверов -графических процессоров Adreno в браузере Chrome.
Qualcomm активно предоставил патчи для этих трех критических уязвимостей нулевого дня для всех затронутых производителей уже в мае. Несмотря на это, может быть задержка, прежде чем производители смартфонов интегрируют эти патчи в свои обновления программного обеспечения для устройств и впоследствии выпустят их пользователям. Отчет Qualcomm явно призывает производителей как можно быстрее «обновлять затронутые устройства». Пользователям рекомендуется обратиться к своим производителям смартфонов, чтобы узнать о состоянии патча своих конкретных устройств.
В то время как производители устройств управляют своими операционными системами на основе Android, они, как правило, не имеют прямого контроля над прошивкой установленных чипов. Они полагаются на производителей чипов, таких как Qualcomm, чтобы сначала предоставить необходимые исправления безопасности. Только после получения этих исправлений производители смартфонов могут разработать и предоставить соответствующие обновления на свои устройства. Эта зависимость от производителей чипов для начальных патчей может создать окно уязвимости, что делает смартфоны Android привлекательной целью для хакеров. Примечательный пример произошел в 2021 году, когда недостаток безопасности в модемом Qualcomm повлиял на сотни миллионов устройств, и потребовалось от нескольких недель до месяцев необходимое обновление, которое будет развернуто на большинство пострадавших смартфонов.
Source: Qualcomm исправляет активно эксплуатируемые недостатки графических процессоров Adreno
