Qualcomm وصلههای امنیتی را برای سه آسیبپذیری روز صفر در درایور واحد پردازش گرافیکی (GPU) Adreno منتشر کرده است که دهها چیپست را تحت تأثیر قرار میدهند و بهطور فعال در حملات هدفمند مورد سوءاستفاده قرار میگیرند.
نقصهای مورد بحث که توسط تیم امنیتی اندروید گوگل اطلاع داده شدهاند، به شرح زیر است:
- CVE-2025-21479 و CVE-2025-21480 (امتیاز CVSS: 8.6) : دو آسیبپذیری احراز هویت نادرست در مؤلفه گرافیک که میتواند منجر به تخریب حافظه به دلیل اجرای غیر مجاز دستور در میکروکد GPU هنگام اجرای یک توالی خاص از دستورات شود.
- CVE-2025-27038 (امتیاز CVSS: 7.5): آسیبپذیری use-after-free در مؤلفه گرافیک که میتواند منجر به تخریب حافظه هنگام رندر گرافیک با استفاده از درایورهای Adreno GPU در کروم شود.
Qualcomm گفت: در ماه مه، وصلههایی برای مشکلات مربوط به درایور واحد پردازش گرافیکی آدرنو (GPU) در اختیار تولیدکنندگان اصلی تجهیزات (OEM) قرار گرفته است، به همراه توصیه اکید برای نصب بهروزرسانی در اسرع وقت روی دستگاههای آسیبدیده.» در حال حاضر جزئیاتی در مورد نحوه، زمینه و چگونگی سوءاستفاده از این آسیبپذیریها وجود ندارد. با این حال، نقصهای مشابه در چیپستهای کوالکام (CVE-2023-33063، CVE-2023-33106 و CVE-2023-33107) در گذشته توسط جاسوسافزارهای تجاری مانند Variston و Cy4Gate مورد استفاده قرار گرفته است.
https://www.bleepingcomputer.com/news/security/qualcomm-fixes-three-adreno-gpu-zero-days-exploited-in-attacks/
https://thehackernews.com/2025/06/qualcomm-fixes-3-zero-days-used-in.html
