Se han lanzado actualizaciones de seguridad que corrigen múltiples vulnerabilidades en productos Qualcomm. Entre ellas tres de severidad alta. Un actor malicioso podría omitir la función de seguridad o ejecutar código remoto arbitrario en los sistemas afectados.
Productos afectados
- Microprocesadores System on a Chip (SoC)
- Componente High-Level Operating System (HLOS)
- Digital Signal Processor (DSP) de Qualcomm
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-25276: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de validación incorrecta de índice de matriz en el Procesador Seguro al utilizar el componente Strongbox. Debido a la falta de comprobación de límites, un actor malicioso local con privilegios mínimos puede forzar una corrupción de memoria para comprometer el entorno seguro del chip y escalar privilegios.
CVE-2026-25277: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de copia de búfer sin verificación del tamaño de entrada en el subsistema del Procesador Seguro bajo el entorno Strongbox. Un actor malicioso local con privilegios previos en el sistema operativo podría aprovechar esta condición para desencadenar un desbordamiento de búfer clásico, corrompiendo la memoria adyacente del firmware con el fin de ejecutar código arbitrario en contextos altamente privilegiados de hardware.
CVE-2025-59605: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de escritura fuera de límites. La falla ocurre durante el procesamiento de cadenas de texto asociadas a los identificadores de dispositivos que exceden la longitud máxima esperada. Un actor malicioso local con bajos privilegios puede explotar esta condición para corromper la memoria del sistema, comprometiendo la confidencialidad, integridad y estabilidad del firmware del dispositivo.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias