A Qualcomm liberou atualizações de segurança para corrigir três vulnerabilidades zero-day que, segundo a empresa, foram exploradas em ataques direcionados e limitados no mundo real.
As falhas em questão, que foram divulgadas responsavelmente à empresa pela equipe de Segurança do Android do Google, são listadas abaixo:
- CVE-2025-21479 e CVE-2025-21480 (pontuação CVSS: 8.6) - Duas vulnerabilidades de autorização incorreta no componente Gráfico que podem resultar em corrupção de memória devido à execução de comandos não autorizados no microcódigo da GPU ao executar uma sequência específica de comandos.
- CVE-2025-27038 (pontuação CVSS: 7.5) - Uma vulnerabilidade de uso após liberação no componente Gráfico que pode resultar em corrupção de memória durante a renderização de gráficos usando drivers da GPU Adreno no Chrome.
"Há indicações do Google Threat Analysis Group de que CVE-2025-21479, CVE-2025-21480, CVE-2025-27038 podem estar sob exploração limitada e direcionada", disse a Qualcomm em um comunicado.
Patches para os problemas que afetam o driver da Unidade de Processamento Gráfico (GPU) Adreno foram disponibilizados para os OEMs em maio, junto com uma forte recomendação para implementar a atualização nos dispositivos afetados o mais rápido possível.
Atualmente, não há detalhes sobre como as vulnerabilidades estão sendo exploradas, em que contexto, e por quem.
Dito isso, falhas semelhantes em chipsets da Qualcomm (CVE-2023-33063, CVE-2023-33106 e CVE-2023-33107) foram armadas no passado por fornecedores de spyware comercial como Variston e Cy4Gate.
Em dezembro passado, a Anistia Internacional revelou que outra falha de segurança na Qualcomm (
CVE-2024-43047
) havia sido explorada pela Agência de Informações de Segurança da Sérvia (BIA) e pela polícia sérvia para desbloquear dispositivos Android apreendidos de ativistas, jornalistas e manifestantes, utilizando o software de extração de dados da Cellebrite para obter acesso elevado e implantar um spyware para Android chamado NoviSpy.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...