A Qualcomm emitiu recentemente correções de segurança para três vulnerabilidades críticas do tipo "zero-day" que afetam o driver da sua popular unidade de processamento gráfico (GPU) Adreno. Estas falhas, que impactam dezenas de chipsets da fabricante, estão já a ser exploradas em ataques direcionados, aumentando a urgência da aplicação das atualizações.
Três vulnerabilidades zero-day identificadas e corrigidas
Segundo a informação divulgada, duas das falhas, catalogadas como CVE-2025-21479 e CVE-2025-21480, são consideradas críticas. Ambas foram reportadas à Qualcomm pela equipa de Segurança Android da Google no final de janeiro. Uma terceira vulnerabilidade, de severidade alta e identificada como CVE-2025-27038, foi comunicada em março.
As duas primeiras vulnerabilidades (CVE-2025-21479 e CVE-2025-21480) são descritas como fraquezas de autorização incorreta no framework gráfico. Estas podem levar à corrupção de memória devido à execução não autorizada de comandos no micronó da GPU durante uma sequência específica de operações. Já a falha CVE-2025-27038 é um problema de "use-after-free" que resulta em corrupção de memória durante a renderização de gráficos através dos drivers da GPU Adreno no navegador Chrome.
Exploração ativa confirmada pelo Google Threat Analysis Group
A situação é particularmente preocupante, uma vez que o Google Threat Analysis Group (TAG) encontrou indícios de que as três vulnerabilidades (CVE-2025-21479, CVE-2025-21480 e CVE-2025-27038) "poderão estar sob exploração limitada e direcionada", alertou a Qualcomm num comunicado divulgado esta segunda-feira.
Recomendação urgente para atualização dos dispositivos
A fabricante de processadores informou que "as correções para os problemas que afetam o driver da Unidade de Processamento Gráfico (GPU) Adreno foram disponibilizadas aos OEMs [Fabricantes de Equipamento Original] em maio, juntamente com uma forte recomendação para que implementem a atualização nos dispositivos afetados o mais rapidamente possível." Assim, cabe agora aos fabricantes de smartphones e outros dispositivos que utilizam estes chipsets Adreno distribuir as respetivas atualizações de segurança aos seus utilizadores.
Contexto de segurança na Qualcomm: Um olhar sobre outras correções
Este mês de junho, a Qualcomm também endereçou uma vulnerabilidade de leitura excessiva de buffer no Data Network Stack & Connectivity (CVE-2024-53026). Esta falha poderia ser explorada por atacantes não autenticados para aceder a informação restrita através do envio de pacotes RTCP inválidos durante chamadas VoLTE/VoWiFi IMS.
Recorde-se que, em outubro do ano anterior, a empresa corrigiu outra vulnerabilidade "zero-day" (CVE-2024-43047). Na altura, foi revelado que essa falha tinha sido explorada pela Agência de Informação de Segurança da Sérvia (BIA) e pela polícia sérvia para desbloquear dispositivos Android apreendidos, pertencentes a ativistas, jornalistas e manifestantes, utilizando software de extração de dados da Cellebrite. Investigações posteriores do TAG da Google sugeriram que os dispositivos visados foram também infetados com o spyware NoviSpy.
Há cerca de um ano, a Qualcomm já tinha alertado para a exploração ativa de outras três vulnerabilidades "zero-day" nos seus drivers de GPU e Compute DSP. Ao longo dos últimos anos, a empresa tem vindo a corrigir diversas falhas de segurança nos seus chipsets que poderiam permitir o acesso indevido a mensagens de texto, histórico de chamadas, ficheiros multimédia e conversas em tempo real dos utilizadores.
Nenhum comentário
Seja o primeiro!