クアルコムがデバイスへの深刻な脅威を警告

クアルコム・テクノロジーズ社は、世界中の数百万台のデバイスに影響を与える複数の重大な脆弱性に関する緊急セキュリティ情報（セキュリティブリテン）を発表しました。最も深刻な欠陥は、デバイスを起動時の悪意のあるソフトウェアから保護する基盤となるセキュリティメカニズムであるセキュアブートプロセスを脅かすものです。

本日公開されたこのセキュリティアップデートは、クアルコムの独自ソフトウェアで発見された6つの高優先度の脆弱性に対処しています。中でも、CVE-2025-47372は、ブートプロセスに与える潜在的な影響から、同社の最高セキュリティ評価を受けた最も重要な脅威として際立っています。

最も深刻なブートプロセスの脆弱性「CVE-2025-47372」

CVE-2025-47372は、「Critical（危機的）」なセキュリティ評価とCVSS（共通脆弱性評価システム）評価を受けており、その深刻な性質を示しています。この脆弱性は、デバイスの起動とオペレーティングシステムのロード方法を制御するブート技術領域に影響を与えます。悪用された場合、攻撃者はセキュリティチェックを回避し、持続的なマルウェアをインストールしたり、オペレーティングシステムがロードされる前に影響を受けるデバイスに対する不正な制御を獲得したりする可能性があります。

この欠陥はクアルコムのセキュリティチームによって社内で発見され、脅威の特定に対する同社の積極的なアプローチが示されました。しかし、この発見は、検出されるまで展開されたデバイスに脆弱性がどのくらいの期間存在していたかについての懸念も提起しています。

その他の主要なセキュリティ脅威

ブートに関する重大な欠陥に加えて、クアルコムは以下の5つの重要な脆弱性を公表しました。

• CVE-2025-47319：HLOS（高レベルオペレーティングシステム）に影響を与え、セキュリティ評価はCriticalですが、CVSS評価はMediumです。これは社内での発見であり、デバイスのオペレーティングシステム機能に影響を与える可能性があります。
• CVE-2025-47325：TZファームウェアを標的としており、外部のセキュリティ研究者であるNiek Timmers氏とRaelizeのCristofaro Mune氏によって2025年9月3日に報告されました。この高評価の脆弱性は、メーカーと独立研究者の協力の価値を示しています。
• CVE-2025-47323：オーディオシステムで発見された高深刻度の欠陥（社内発見）。
• CVE-2025-47350：DSPサービスで発見された高深刻度の欠陥（社内発見）。
• CVE-2025-47387：カメラ機能で発見された高深刻度の欠陥（社内発見）。

クアルコムからの推奨と業界への影響

クアルコムはOEM（相手先ブランド製造業者）と積極的にセキュリティパッチを共有しており、すべてのリリース済みデバイスに即座に展開することを強く推奨しています。同社は、その影響の大きさを鑑み、デバイスメーカーがこれらのアップデートを優先すべきであることを強調しています。

デバイスのセキュリティについて懸念があるユーザーは、パッチの入手可能性とアップデートスケジュールについて、直接デバイスメーカーに問い合わせる必要があります。同社は、このセキュリティ情報に関する質問のために専用のEメールアドレスを設置しています。

この事件は、複雑なハードウェアとソフトウェアのエコシステム全体でデバイスのセキュリティを維持するという、テクノロジー業界が直面する継続的な課題を浮き彫りにしています。

---

元記事: https://gbhackers.com/qualcomm-alerts-users-to-critical-flaws/