启动过程遭入侵：高通骁龙8 Gen 3及5G调制解调器曝出高危漏洞（CVE-2025-47372）

高通公司发布了2025年12月重大安全更新，修复了其芯片组生态系统中11个不同漏洞。本次补丁包的重点是一个设备启动过程中的高危漏洞，该漏洞可能允许攻击者执行任意代码，同时还修复了影响音频、摄像头和汽车系统的高危问题。补丁已共享给原始设备制造商（OEM），并敦促其立即部署到终端用户设备。

关键漏洞详情

本月公告中最严重的漏洞是CVE-2025-47372，这是一个CVSS评分为9.0的关键级专有软件问题。该漏洞存在于"启动"技术领域，被描述为"缓冲区复制未检查输入大小"（经典缓冲区溢出）。当未经认证的损坏ELF映像（文件大小超出限制）被读入缓冲区时，会导致"内存损坏"。

受影响芯片组包括：

• 骁龙8 Gen 3
• 骁龙X75 5G调制解调器-RF系统
• FastConnect 7800

另一个重要的专有漏洞是CVE-2025-47319（关键级，CVSS 6.7），影响高级操作系统（HLOS）。该漏洞涉及"敏感系统信息暴露给未授权控制域"，具体原因是"在向HLOS暴露内部TA-to-TA[可信应用]通信API时导致信息泄露"。

多媒体子系统高危漏洞

公告还强调了影响多媒体子系统的多个高危问题：

• 音频：CVE-2025-47323（CVSS 7.8）涉及"整数溢出或回绕"，当在用户空间和根空间之间路由大数据包时会导致内存损坏
• 摄像头：CVE-2025-47387（CVSS 7.8）是一个"不可信指针解引用"漏洞，在处理未经验证的JPEG数据IOCTL时触发
• 视频：CVE-2025-27063（中等评级但CVSS 7.8）涉及视频播放超时期间的"释放后使用"错误

开源组件与汽车系统漏洞

高通还修复了集成到其产品中的开源组件漏洞。值得注意的是，CVE-2025-47382（CVSS 7.8）影响引导加载程序，由于授权不正确，导致"加载无效固件时内存损坏"。

针对汽车领域，CVE-2025-47322（CVSS 7.8）影响汽车Android操作系统。该"释放后使用"漏洞发生在处理设置模式的IOCTL调用时，对运行在骁龙平台上的联网车辆系统构成风险。

受影响芯片组范围

受影响芯片组范围广泛，包括：

• 旗舰移动平台（骁龙8 Gen 1/2/3）
• 中端芯片（骁龙6/7系列）
• 调制解调器（骁龙X65/X75）
• 连接模块（FastConnect 6700/6900/7800）

高通建议"补丁正在积极共享给OEM"，用户应"联系设备制造商了解已发布设备的补丁状态"。