Qualcomm, iş ortaklarını ve cihaz üreticilerini, yonga seti ekosistemini kapsayan yeni keşfedilen çok sayıda güvenlik açığı konusunda uyardı. Qualcomm, 1 Aralık 2025’te, bir cihazın başlangıç zincirindeki en hassas aşamalardan biri olan güvenli önyükleme sürecini doğrudan tehlikeye atan bir kusur da dahil olmak üzere, özel yazılımındaki altı yüksek öncelikli zayıflığı özetleyen ayrıntılı bir güvenlik bülteni yayınladı.
Bülten, belgenin müşterilerin gerekli düzeltmeleri hem mevcut hem de gelecek cihazlara entegre etmelerine yardımcı olmayı amaçladığını belirtiyor. Qualcomm, cihaz üreticilerine sorular için güvenlik bültenleriyle iletişime geçmelerini tavsiye ederken, aynı zamanda birçok sorunun belirlenmesinde yardımcı olan harici araştırmacılara da teşekkür etti.
Katkıda bulunanlar arasında raeliize, conghuiwan, haonan li’den niek timmers ve crists, oppo amer güvenlik laboratuvarından Zinu han ve ylva olarak tanımlanan bir araştırmacı vardı.
Güvenli Önyükleme Güvenlik Açığı: CVE-2025-47372
Güvenlik uyarısında ayrıntıları verilen en ciddi sorun, güvenli önyükleme işleminin bütünlüğünü tehdit eden bir kusur olan CVE-2025-47372’dir. Qualcomm, güvenlik açığını hem dahili ölçeği hem de Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) açısından Kritik olarak derecelendirdi.
Şirketin analizi, kusurun, önyükleme sırasında gelen bir ELF görüntüsünün boyutunu doğru şekilde doğrulayamayan bir arabellek kopyalama işlemini içerdiğini ortaya çıkardı. Görüntü bozuksa veya kasıtlı olarak aşırı boyutlandırılmışsa, önyükleyici sınırların dışına çıkarak başlatma sırasında erken ve son derece güvenilir bir aşamada bellek bozulmasına neden olabilir.
CWE-120 (Klasik Arabellek Taşması) kapsamında sınıflandırılan ve CVSS puanı 9,0 olan güvenlik açığı, saldırganların temel doğrulama rutinlerini atlamasına, kalıcı kötü amaçlı yazılım yüklemesine veya birincil işletim sistemi yüklenmeden önce bir cihazın kontrolünü ele geçirmesine olanak sağlayabilir. Qualcomm, kusurun dahili olarak tespit edildiğini belirtti ancak şirket, tespitten önce üretim donanımında ne kadar süredir var olabileceğini açıklamadı. Çok çeşitli Snapdragon, QAM ve QCA önyükleme özellikli platformlar etkilenir.
Ek Yüksek Etkili Güvenlik Açıkları
Qualcomm’un güvenlik bülteni, CVE-2025-47372’nin ötesinde beş ek yüksek öncelikli tehdidi ve birkaç orta şiddette sorunu listeliyor.
- Yine şirket içinde keşfedilen CVE-2025-47319, Yüksek Düzey İşletim Sistemini (HLOS) etkilemektedir. Qualcomm ona Kritik bir dahili derecelendirme vermiş olsa da standartlaştırılmış CVSS puanı Orta (6,7)’dir. Kusur, Güvenilir Uygulamadan Güvenilir Uygulamaya (TA’dan TA’ya) iletişim arayüzlerinin CWE-497 ile eşleşen HLOS katmanına istenmeyen şekilde maruz kalmasından kaynaklanmaktadır. Etkilenen platformlar arasında FastConnect modülleri, Snapdragon 4/6/8 Gen yonga setleri, QAM/QCA aileleri, otomotiv sistemleri, AR cihazları ve çeşitli bilgi işlem modülleri yer alıyor.
- 7,8 CVSS puanına sahip yüksek önem dereceli bir güvenlik açığı olan CVE-2025-47323, ses paketi yönlendirme sırasında tamsayı taşmasını içerir. GPR paketlerinin yanlış işlenmesi, sarma koşullarını tetikleyerek belleğin bozulmasına yol açabilir. Bu kusur, AR/VR cihazları, FastConnect modülleri, Snapdragon bilgi işlem işlemcileri ve çok sayıda modem RF sistemi dahil olmak üzere çok çeşitli platformları kapsamaktadır.
- 3 Eylül 2025’te bildirilen CVE-2025-47325, güvenilmeyen işaretçi referansının kaldırılmasını içeren bir TrustZone ürün yazılımı güvenlik açığıdır. CVSS puanı 6,5 olan sorun, korunan bellek bölgelerine yetkisiz erişime izin verebilir. Bülten birçok IPQ, QCA, QCN ve SDX ağ yonga setinin etkilendiğini gösteriyor.
- Başka bir Yüksek önem derecesine sahip sorun olan CVE-2025-47350, DSP Hizmetlerini etkilemektedir. Güvenlik açığı, CWE-416 (Ücretsiz Kullanım Sonrası) olarak sınıflandırılan eşzamanlı bellek eşleme ve eşlemeyi kaldırma işlemlerinin hatalı işlenmesinden kaynaklanmaktadır. Potansiyel olarak ciddi olmasına rağmen Qualcomm, şu anda aktif olan hiçbir ürünün etkilenmediğini belirterek, kusurun yalnızca geliştirme hatlarında veya aktif olmayan kodda mevcut olduğunu öne sürdü.
- Yüksek önem derecesine sahip bir kamera alt sistemi güvenlik açığı (CVSS 7.8) olan CVE-2025-47387, JPEG IOCTL işleme sırasında güvenilmeyen işaretçi referansının kaldırılmasını içerir ve bellek bozulması riskleri sunar. Etkilenen donanımlar arasında birden fazla bilgi işlem platformu, FastConnect yonga seti, Snapdragon 7c/8c/8cx işlemciler ve çeşitli mobil SoC’ler yer alıyor.
Temel Hizmetler ve Açık Kaynak Güvenlik Açıkları
Orta şiddette bir sorun olan CVE-2025-47321, Temel Hizmetleri etkilemektedir. Bu klasik arabellek taşması (CWE-120), paketler kopyalanırken meydana gelebilir.Unix istemcilerinde uygun sınır kontrolleri uygulanmadan, ayrıcalık yükseltme veya uzaktan kod yürütme riskleri ortaya çıkar. Kusur, geniş bir Qualcomm bağlantısı, ses, mobil, AR, giyilebilir cihaz ve bilgi işlem yonga setlerini etkiliyor.
Güvenlik bülteni ayrıca CodeLinaro aracılığıyla koordine edilen çok sayıda açık kaynaklı yazılım güvenlik açığının ayrıntılarını da içeriyor. Bunlar şunları içerir:
- CVE-2025-27063: Video oynatımında Serbest Kullanım Sonrası sorunu.
- CVE-2025-47320: CodeLinaro aracılığıyla sınırların dışında bir ses yazma yaması da uygulandı.
- CVE-2025-47322: Linux işletim sistemindeki otomotiv odaklı bir Serbest Kullanım Sonrası güvenlik açığı, 7,8 Yüksek CVSS puanıyla Orta olarak derecelendirildi. 7 Şubat 2025’te rapor edilen ve 2 Haziran 2025’te müşterilere açıklanan bu durum, otomotiv, bilgi işlem, mobil ve IoT pazarlarındaki düzinelerce çip ailesini etkiliyor.
OEM’lere ve Ekosistem Ortaklarına Yönelik Rehberlik
Qualcomm’un en son güvenlik bülteni, kritik önyükleme sorunu CVE-2025-47372 de dahil olmak üzere yüksek etkili güvenlik açıklarına yönelik yamaların halihazırda üreticilerle paylaşıldığını ve bu yamaların piyasaya sürülen cihazlara mümkün olan en kısa sürede dağıtılmasının istendiğini doğruluyor. Şirket ayrıca kullanıcılara şunları tavsiye etti: Etkilenen yonga setlerinin listesinin tam olmayabileceğini dikkate alarak yama kullanılabilirliğini cihaz OEM’leriyle kontrol edin.
Güvenli önyüklemeyi, TrustZone aygıt yazılımını, DSP hizmetlerini ve kamera bileşenlerini kapsayan çok çeşitli güvenlik açıkları, bu kusurların Qualcomm’un ekosisteminde ne kadar derinlere yayıldığını gösteriyor. Qualcomm güvenlik uyarıları yayınlamaya devam ederken, bu platformlarda yerleşik cihazları çalıştıran kuruluşlar için hızlı ve doğru güvenlik açığı düzeltmesi hayati önem taşıyor.
Cyble’ın güvenlik açığı yönetimi gibi platformlar, gerçek zamanlı istihbarat, varlık düzeyinde görünürlük ve yüksek riskli zayıflıkların net bir şekilde önceliklendirilmesini sağlayarak bu çabayı destekleyebilir. Bu yetenekler, ekiplerin kritik riskleri daha erken tespit etmesine ve daha etkili bir şekilde yanıt vermesine yardımcı olur.
Kuruluşunuzun yonga seti düzeyindeki tehditlere ve hızla yayılan güvenlik açıklarına karşı hazırlıklılığını artırmak için bir talepte bulunun kişiselleştirilmiş demo Bugün Cyble’la birlikteyiz.