Qualcomm a lansat patch-uri pentru trei vulnerabilități de tip zero-day. Dezvoltatorii au avertizat că aceste probleme au fost deja exploatate în atacuri țintite limitate.
Vulnerabilitățile raportate companiei de către echipa Google Android Security sunt enumerate mai jos.
- CVE-2025-21479 și CVE-2025-21480 (scor CVSS 8.6) sunt două vulnerabilități în componenta Graphics legate de probleme de autorizare. Ar putea duce la coruperea memoriei din cauza executării neautorizate a instrucțiunilor în contextul microcodului GPU atunci când se execută o anumită secvență de instrucțiuni.
- CVE-2025-27038 (scor CVSS 7.5) este o problemă use-after-free în componenta Graphics care poate cauza coruperea memoriei la redarea graficii în Chrome folosind drivere Adreno GPU.
„Experții Google Threat Analysis Group au motive să creadă că CVE-2025-21479, CVE-2025-21480 și CVE-2025-27038 sunt supuse unei ținte limitate”, a declarat Qualcomm într-o declarație. – În luna mai, OEM-urilor li s-au furnizat patch-uri pentru problemele care afectează driverul unității de procesare grafică (GPU) Adreno, împreună cu o recomandare fermă de a implementa actualizarea pe dispozitivele afectate cât mai curând posibil.”
În prezent, nu există detalii cu privire la modul în care sunt exploatate aceste vulnerabilități, în ce context și de către cine. Cu toate acestea, trebuie remarcat faptul că vulnerabilități similare în chipset-urile Qualcomm (CVE-2023-33063, CVE-2023-33106 și CVE-2023-33107) au fost exploatate în trecut de creatori de spyware comercial, inclusiv Variston și Cy4Gate.
