Qualcomm ha enviado actualizaciones de seguridad para abordar tres vulnerabilidades de día cero que, según dijo, fueron explotadas en un ataque de objetivo limitado en la naturaleza.
Los defectos en los problemas que fueron revelados de manera responsable a la compañía por el equipo de seguridad de Google Android se enumeran a continuación –
CVE-2025-21479 y CVE-2025-21480 (puntaje CVSS: 8.6)-Dos vulnerabilidades de aprobación falsa en el componente gráfico. Componentes gráficos que pueden causar corrupción de la memoria mientras renderizan gráficos utilizando el controlador de GPU Adreno de Chrome
«Del Grupo de Análisis de Amenazos de Google, CVE-2025-21479, CVE-2025-21480 y CVE-2025-27038 pueden ser limitados, y la explotación objetivo puede ser limitada», dijo Qualcomm en su recomendación.
«El parche para problemas que afectan a los controladores de la Unidad de Procesamiento de Gráficos Adreno (GPU) se puso a disposición de los OEM en mayo.
Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad, en qué contexto y quién está siendo explotado. Dicho esto, fallas similares en los chips de Qualcomm (CVE-2023-33063, CVE-2023-33106 y CVE-2023-33107) han sido armados en el pasado por proveedores comerciales de spyware como Bariston y Cy4gate.
En diciembre pasado, Amnistía Internacional eliminó y eliminó AndroidSpyware de otro defecto de seguridad de Qualcomm (CVE-2024-43047) que fue explotado por la Agencia Serbia de Inteligencia de Seguridad (BIA) y la Policía Serbia, utilizando el software de extracción de datos de celebramiento para desbloquear dispositivos de Android que pertenecen a activistas, periodistas y protestadores.
Source link
