Impatto Sistemico

Critico (76.66)

Sintesi

Rilevate vulnerabilità nei chip Qualcomm, di cui diverse con gravità “alta”. Tra queste, si evidenzia la CVE-2026-21385 per la quale è stato confermato lo sfruttamento attivo e mirato in rete.

Tipologia

• Arbitrary Code Execution
• Denial of Service
• Information Disclosure
• Elevation of Privilege
• Security Feature Bypass

Prodotti e/o versioni affette

Per maggiori dettagli inerenti alla lista dei prodotti si rimanda al bollettino ufficiale del vendor, disponibile nella sezione Riferimenti.

Descrizione e potenziali impatti

Rilevate vulnerabilità nei chip Qualcomm, di cui diverse con gravità “alta”. Nel dettaglio, si evidenzia la CVE-2026-21385 – di tipo “ Integer Overflow/Wraparound ” e con score CVSS v3.x pari a 7.8 – per la quale è stato confermato lo sfruttamento attivo e mirato in rete. Tale vulnerabilità interessa la componente grafica di oltre 200 chipset Qualcomm e si verifica quando un’operazione di calcolo utilizzata per determinare l’allineamento della memoria provoca un integer overflow o fenomeni di wraparound : questo errore aritmetico porta il sistema ad allocare quantità di memoria errate o a leggere aree fuori dai limiti, causando una corruzione della memoria all’interno del componente grafico. Un utente locale malintenzionato potrebbe sfruttare questa debolezza inviando dati opportunamente predisposti al componente grafico Qualcomm, con la possibilità di aggirare i controlli di sicurezza e ottenere il controllo non autorizzato del sistema target.

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti. Essendo tali dispositivi largamente usati nelle soluzioni Android si consiglia di procedere all’aggiornamento del sistema operativo come indicato nell’alert presente nella sezione Correlati.

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”: