米国チップメーカーのQualcommは、チップとオープンソースソフトウェア内の脆弱性に関するかなりの数のセキュリティパッチをリリースしました。世界中の多くのAndroidスマートフォンがQualcommチップを利用しているため、この動きは重要です。ただし、これらのパッチをエンドユーザーにタイムリーに配信することは、依然として重要な要素です。
2025年6月のセキュリティレポートで、Qualcommは、さまざまな脆弱性に対処する合計18のパッチを詳述しました。これらのうち、ターゲットを絞ったハッカー攻撃で積極的に悪用されたと考えられているため、3つは特に懸念されています。これらの特定の脆弱性は、ゼロデイエクスプロイトとして分類されます。つまり、攻撃者は、開発者がパッチを利用できる前にこれらの欠陥を活用していました。
Googleの脅威分析グループ(TAG)によると、これら3つのゼロデイの脆弱性はすべて、Qualcommチップ内で見つかったAdrenoグラフィックスプロセッサ(GPU)に影響します。これらのGPUは、Samsung、Xiaomi、OnePlusなどのメーカーの幅広いグローバルに使用されているスマートフォンに統合されています。
Adreno GPU Micronodeに影響を与える脆弱性の2つは、誤った承認に起因し、記憶の腐敗につながる可能性があります。これらは非常に危険であると考えられており、8.6のCVSSスコアに反映されています。 3番目の脆弱性は、GPUメモリの「無料の使用」エラーとして説明されています。このタイプのエラーは、メモリが不要になった後に適切にクリアされていない場合に発生し、潜在的にクラッシュを引き起こし、報告されたインスタンスでは、Chromeブラウザ内のAdreno GPUドライバーを使用してグラフィックをレンダリングする際にメモリの破損が発生します。
Qualcommは、これらの3つの重要なゼロデイの脆弱性に、5月には早くも影響を受けるすべてのメーカーに積極的にパッチを提供しました。それにもかかわらず、スマートフォンメーカーがこれらのパッチを独自のデバイスソフトウェアの更新に統合し、その後ユーザーにリリースする前に遅延が発生する可能性があります。 Qualcommのレポートは、メーカーに「影響を受けるデバイスをできるだけ早く更新する」ように明示的に促しています。ユーザーは、特定のデバイスのパッチステータスについて問い合わせるために、スマートフォンメーカーに連絡することをお勧めします。
デバイスメーカーはAndroidベースのオペレーティングシステムを管理していますが、通常、インストールされたチップのファームウェアを直接制御していません。彼らは、Qualcommのようなチップメーカーに依存しており、最初に必要なセキュリティパッチを提供しています。これらのパッチを受け取った後にのみ、スマートフォンメーカーは、それに対応する更新をデバイスに開発して配信できます。初期パッチのチップメーカーへの依存は、脆弱性のウィンドウを作成し、Androidスマートフォンをハッカーにとって魅力的なターゲットにすることができます。 Qualcommモデムのセキュリティ欠陥が数億のデバイスに影響を与えた2021年に注目すべき例が発生し、必要な更新が影響を受けるスマートフォンの大部分に展開するまでに数週間から数ヶ月かかりました。
