Qualcomm ha enviado actualizaciones de seguridad para abordar tres vulnerabilidades de día cero que, según él, han sido explotadas en ataques limitados y dirigidos en la naturaleza.
Los defectos en cuestión, que el equipo de seguridad de Google Android divulgó de manera responsable a la compañía, se enumeran a continuación –
- CVE-2025-21479 y CVE-2025-21480 (Puntuación CVSS: 8.6) – Dos vulnerabilidades de autorización incorrectas en el componente gráfico que podría dar lugar a la corrupción de la memoria debido a la ejecución del comando no autorizada en el microcódigo GPU al ejecutar una secuencia específica de comandos
- CVE-2025-27038 (Puntuación CVSS: 7.5): una vulnerabilidad gratuita de uso en el componente gráfico que podría dar lugar a la corrupción de la memoria al tiempo que hace que los gráficos usen controladores de GPU Adreno en Chrome
«Hay indicios de Google Threat Analysis Group de que CVE-2025-21479, CVE-2025-21480, CVE-2025-27038 puede estar bajo explotación limitada y específica», dijo Qualcomm en un aviso.
«Los parches para los problemas que afectan al controlador de la Unidad de Procesamiento de Gráficos de Adreno (GPU) se han puesto a disposición de los OEM en mayo, junto con una sólida recomendación para implementar la actualización en los dispositivos afectados lo antes posible».
Actualmente no hay detalles sobre cómo se explotan las vulnerabilidades, en qué contexto y por quién. Dicho esto, los fallas similares en los chips de Qualcomm (CVE-2023-33063, CVE-2023-33106 y CVE-2023-33107) han sido armados en el pasado por proveedores de spyware comercial como Variston y Cy4gate.
En diciembre pasado, Amnistía Internacional reveló que la Agencia de Información de Seguridad Serbia (BIA) y la Policía Serbia para desbloquear los dispositivos Android de Android, habían explotado otro defecto de seguridad en Qualcomm (CVE-2024-43047).