高通公司发布了2025年12月重大安全更新,修复了其芯片组生态系统中11个不同漏洞。本次补丁包的重点是一个设备启动过程中的高危漏洞,该漏洞可能允许攻击者执行任意代码,同时还修复了影响音频、摄像头和汽车系统的高危问题。补丁已共享给原始设备制造商(OEM),并敦促其立即部署到终端用户设备。
关键漏洞详情
本月公告中最严重的漏洞是CVE-2025-47372,这是一个CVSS评分为9.0的关键级专有软件问题。该漏洞存在于"启动"技术领域,被描述为"缓冲区复制未检查输入大小"(经典缓冲区溢出)。当未经认证的损坏ELF映像(文件大小超出限制)被读入缓冲区时,会导致"内存损坏"。
受影响芯片组包括:
- 骁龙8 Gen 3
- 骁龙X75 5G调制解调器-RF系统
- FastConnect 7800
另一个重要的专有漏洞是CVE-2025-47319(关键级,CVSS 6.7),影响高级操作系统(HLOS)。该漏洞涉及"敏感系统信息暴露给未授权控制域",具体原因是"在向HLOS暴露内部TA-to-TA[可信应用]通信API时导致信息泄露"。
多媒体子系统高危漏洞
公告还强调了影响多媒体子系统的多个高危问题:
- 音频:CVE-2025-47323(CVSS 7.8)涉及"整数溢出或回绕",当在用户空间和根空间之间路由大数据包时会导致内存损坏
- 摄像头:CVE-2025-47387(CVSS 7.8)是一个"不可信指针解引用"漏洞,在处理未经验证的JPEG数据IOCTL时触发
- 视频:CVE-2025-27063(中等评级但CVSS 7.8)涉及视频播放超时期间的"释放后使用"错误
开源组件与汽车系统漏洞
高通还修复了集成到其产品中的开源组件漏洞。值得注意的是,CVE-2025-47382(CVSS 7.8)影响引导加载程序,由于授权不正确,导致"加载无效固件时内存损坏"。
针对汽车领域,CVE-2025-47322(CVSS 7.8)影响汽车Android操作系统。该"释放后使用"漏洞发生在处理设置模式的IOCTL调用时,对运行在骁龙平台上的联网车辆系统构成风险。
受影响芯片组范围
受影响芯片组范围广泛,包括:
- 旗舰移动平台(骁龙8 Gen 1/2/3)
- 中端芯片(骁龙6/7系列)
- 调制解调器(骁龙X65/X75)
- 连接模块(FastConnect 6700/6900/7800)
高通建议"补丁正在积极共享给OEM",用户应"联系设备制造商了解已发布设备的补丁状态"。