Qualcommは、限定的かつ標的型の攻撃で野生で悪用されているとされる3つのゼロデイ脆弱性に対処するためのセキュリティアップデートを提供しました。
問題の欠陥は、Google Android Securityチームによって責任を持って同社に報告され、以下の通りです –
- CVE-2025-21479およびCVE-2025-21480 (CVSSスコア: 8.6) – 特定のコマンドシーケンスを実行中にGPUマイクロコードでの不正なコマンド実行によりメモリ破損を引き起こす可能性のあるGraphicsコンポーネントの2つの不正な認可脆弱性
- CVE-2025-27038 (CVSSスコア: 7.5) – ChromeでAdreno GPUドライバを使用してグラフィックスをレンダリング中にメモリ破損を引き起こす可能性のあるGraphicsコンポーネントのuse-after-free脆弱性
“Google Threat Analysis Groupからの情報によると、CVE-2025-21479、CVE-2025-21480、CVE-2025-27038が限定的かつ標的型の悪用を受けている可能性があります。”とQualcommはアドバイザリで述べています。
“Adreno Graphics Processing Unit (GPU)ドライバに影響を与える問題のパッチは5月にOEMに提供されており、影響を受けるデバイスにできるだけ早くアップデートを適用することを強く推奨しています。”
現在、脆弱性がどのように悪用されているのか、どのような状況で、誰によって行われているのかについての詳細はありません。それにもかかわらず、Qualcommチップセットの類似の欠陥(CVE-2023-33063、CVE-2023-33106、およびCVE-2023-33107)は、過去にVaristonやCy4Gateのような商業スパイウェアの提供者によって武器化されてきました。
昨年12月、アムネスティ・インターナショナルは、Qualcommの別のセキュリティ欠陥(CVE-2024-43047)が、セルビアのセキュリティ情報局(BIA)およびセルビア警察によって、押収された活動家、ジャーナリスト、抗議者のAndroidデバイスをアンロックするために悪用され、Cellebriteのデータ抽出ソフトウェアを使用してアクセス権を高め、NoviSpyというAndroidスパイウェアを展開するために利用されたことを明らかにしました。
翻訳元: https://thehackernews.com/2025/06/qualcomm-fixes-3-zero-days-used-in.html