Qualcomm telah mengirimkan pembaruan keamanan untuk mengatasi tiga kerentanan nol-hari yang dikatakan telah dieksploitasi dalam serangan terbatas dan bertarget di alam liar.
Kelemahan yang dimaksud, yang secara bertanggung jawab diungkapkan kepada perusahaan oleh tim keamanan Google Android, tercantum di bawah ini –
- CVE-2025-21479 dan CVE-2025-21480 (Skor CVSS: 8.6) – Dua kerentanan otorisasi yang salah dalam komponen grafis yang dapat mengakibatkan korupsi memori karena eksekusi perintah yang tidak sah dalam mikrokode GPU saat menjalankan urutan perintah tertentu tertentu
- CVE-2025-27038 (Skor CVSS: 7.5)-Kerentanan penggunaan-setelah-bebas dalam komponen grafis yang dapat mengakibatkan korupsi memori saat membuat grafik menggunakan driver GPU Adreno di Chrome
“Ada indikasi dari Grup Analisis Ancaman Google bahwa CVE-2025-21479, CVE-2025-21480, CVE-2025-27038 mungkin berada di bawah eksploitasi yang terbatas dan ditargetkan,” kata Qualcomm dalam penasihat.
“Patch untuk masalah yang mempengaruhi driver Adreno Graphics Processing Unit (GPU) telah tersedia untuk OEM pada bulan Mei bersama dengan rekomendasi yang kuat untuk menggunakan pembaruan pada perangkat yang terkena dampak sesegera mungkin.”
Saat ini tidak ada detail tentang bagaimana kerentanan dieksploitasi, dalam konteks apa, dan oleh siapa. Yang mengatakan, kelemahan serupa pada chipset Qualcomm (CVE-2023-33063, CVE-2023-33106, dan CVE-2023-33107) telah dipersenjatai di masa lalu oleh pemasok spyware komersial seperti Variston dan Cy4Gate.
Desember lalu, Amnesty International mengungkapkan bahwa cacat keamanan lain di Qualcomm (CVE-2024-43047) telah dieksploitasi oleh Badan Informasi Keamanan Serbia (BIA) dan polisi Serbia untuk membuka kunci perangkat Android yang disita yang dimiliki oleh aktivis, jurnalis, dan pemrotes Cellebrite.
