Boletín de seguridad de Qualcomm Technologies - abril de 2025
Fecha de publicación 09/04/2025
Identificador
INCIBE-2025-0181
Recursos Afectados
- HLOS;
- TZ Firmware;
- Automotive Vehicle Networks;
- Core;
- KERNEL;
- Data Network Stack & Connectivity;
- Trust Management Engine;
- Display;
- Automotive Linux OS;
- Automotive Software platform based on QNX;
- Windows WLAN Host;
- Computer Vision;
- WLAN Firmware;
- TZ Secure OS;
- DSP Service;
- WLAN Host;
- WLAN Host Communication;
- Multimedia Frameworks;
- Camera Driver;
- AUDIO.
Descripción
Qualcomm ha publicado su boletín de seguridad mensual donde se solucionan 34 vulnerabilidades, 4 de ellas catalogadas por el fabricante como críticas.
La actualización resuelve vulnerabilidades producidas tanto en su propio software como en software de código abierto.
Solución
Instalar los parches facilitados por el fabricante.
Detalle
Las vulnerabilidades catalogadas por el fabricante como críticas afectan al software propietario, en concreto a las siguientes tecnologías:
- HLOS: hay un error criptográfico en la verificación de PIN/contraseña cuando se usa Gatekeeper, donde pueden ser descartadas las escrituras RPMB si hay fallos en la verificación, esto puede, potencialmente, derivar en una omisión de las limitaciones del usuario. Se ha asignado el identificador CVE-2024-45551 para esta vulnerabilidad.
- TZ Firmware: puede surgir un problema criptográfico porque la configuración de control de acceso permite a Linux leer registros de claves en TCSR. Se ha asignado el identificador CVE-2024-45556 para esta vulnerabilidad.
- Automotive Vehicle Networks: tiene 2 vulnerabilidades de corrupción de memoria. Se han asignados los identificadores CVE-2025-21442 y CVE-2025-21443 para estas vulnerabilidades.
El resto de vulnerabilidades se pueden consultar en el aviso oficial disponible en las referencias.
Listado de referencias
