Компания Qualcomm выпустила исправления для трех уязвимостей нулевого дня. Разработчики предупредили, что эти проблемы уже использовались в ограниченных целевых атаках.
Уязвимости, о которых компанию проинформировала команда Google Android Security, перечислены ниже.
CVE-2025-21479 и CVE-2025-21480 (8,6 балла по шкале CVSS) — две уязвимости в компоненте Graphics, связанные с проблемами авторизации. Могут привести к повреждению памяти из-за несанкционированного выполнения инструкций в контексте микрокода GPU при выполнении определенной последовательности команд.
CVE-2025-27038 (7,5 балла по шкале CVSS) — проблема типа use-after-free в компоненте Graphics, которая может привести к повреждению памяти при рендеринге графики в Chrome с использованием драйверов GPU Adreno.
«Специалисты Google Threat Analysis Group имеют основания полагать, что CVE-2025-21479, CVE-2025-21480 и CVE-2025-27038 подвергаются ограниченной таргетированной эксплуатации, — говорится в заявлении Qualcomm. — В мае OEM-производителям были предоставлены исправления для проблем, затрагивающих драйвер графического процессора (GPU) Adreno, вместе с настоятельной рекомендацией как можно скорее развернуть обновление на затронутых устройствах».
В настоящее время нет никаких подробностей о том, как, в каком контексте и кем именно применяются эти уязвимости. Однако нужно отметить, что в прошлом аналогичные уязвимости в чипсетах Qualcomm (CVE-2023-33063, CVE-2023-33106 и CVE-2023-33107) использовались создателями коммерческого шпионского ПО, включая Variston и Cy4Gate.
