高通已经推送了安全更新,以修复三个被其称为在外有限的、有针对性的攻击中被利用的零日漏洞。
谷歌安卓安全团队向公司负责任地披露了以下问题,这些问题如下所示:
CVE-2025-21479 和 CVE-2025-21480 (CVSS 分数: 8.6) - 图形组件中的两个授权错误漏洞,当执行特定命令序列时,由于在 GPU 微代码中执行未经授权的命令执行,可能会导致内存损坏
CVE-2025-27038 (CVSS评分: 7.5) - 在使用Adreno GPU驱动程序在Chrome中渲染图形时,图形组件中的使用后释放漏洞可能导致内存损坏
“谷歌威胁分析小组有迹象表明,CVE-2025-21479、CVE-2025-21480、CVE-2025-27038 可能正在被有限、有针对性地利用,”高通在一份声明中说道。
网络安全研究人员郭盛华透露:“针对影响Adreno图形处理单元(GPU)驱动的问题的补丁已于五月提供给OEM,并强烈建议在受影响的设备上尽快部署更新。”
目前尚无关于这些漏洞是如何被利用、在什么背景下以及由谁利用的详细信息。话虽如此,过去像Variston和Cy4Gate这样的商业间谍软件供应商已经将类似Qualcomm芯片组的缺陷(CVE-2023-33063、CVE-2023-33106和CVE-2023-33107)武器化了。
去年十二月,人权观察组织揭露了另一个Qualcomm的安全漏洞(CVE-2024-43047),这个漏洞被塞尔维亚安全信息局(BIA)和塞尔维亚警方利用,通过Cellebrite的数据提取软件获取更高的访问权限,并使用NoviSpy这种Android间谍软件解锁扣押的属于活动家、记者和抗议者的Android设备。(欢迎转载分享)
