Chipmaker Qualcomm heeft maandag patches uitgebracht voor drie actief misbruikte zerodays. Daarmee was het mogelijk het geheugen aan te vallen in socs met Adreno-gpu's. Het bedrijf werd door beveiligers van Google op de kwetsbaarheden gewezen.
Qualcomm schrijft dat Googles interne bugopspoorafdeling, de Threat Analysis Group, aanwijzingen heeft dat de drie lekken 'mogelijk beperkt en gericht worden misbruikt.' Details daarover zijn niet bekend. De chipmaker heeft patches voor de Adreno-gpu's in mei beschikbaar gesteld aan fabrikanten, met het 'sterke advies' om de update zo snel mogelijk op getroffen apparaten uit te rollen.
CVE-2025-21479 en CVE-2025-21480 worden als Kritiek aangemerkt en zijn in januari aan Qualcomm gerapporteerd. Beide kwetsbaarheden zorgden ervoor dat hackers het geheugen van het apparaat kunnen corrumperen, door een bepaalde commandsequence in de micronode van de gpu uit te voeren.
CVE-2025-27038 wordt als een lek met een Hoog beveiligingsrisico aangemerkt en is in maart gerapporteerd aan Qualcomm. Ook dit lek kon geheugen corrumperen. Dat was mogelijk tijdens het renderen van beelden door de Adreno-drivers in de Google Chrome-browser.