ارائه به‌روزرسانی Android برای مقابله با سوءاستفاده از باگ‌های Qualcomm

Google وصله‌های امنیتی را برای شش آسیب‌پذیری در به‌روزرسانی امنیتی آگوست ۲۰۲۵ Android منتشر کرده است که شامل دو نقص Qualcomm است که در حملات هدفمند مورد سوءاستفاده قرار گرفته‌اند.

دو باگ امنیتی با شناسه‌های CVE-2025-21479 و CVE-2025-27038 در اواخر ژانویه ۲۰۲۵ از طریق تیم امنیت Google Android گزارش شدند.

مورد اول یک ضعف Graphics framework incorrect authorization است که می‌تواند منجر به memory corruption به دلیل اجرای غیرمجاز فرمان‌ها در GPU micronode هنگام اجرای یک دنباله خاص از فرمان‌ها شود. در مقابل، CVE-2025-27038 یک آسیب‌پذیری use-after-free است که باعث memory corruption هنگام رندر گرافیک با استفاده از Adreno GPU drivers در Chrome می‌شود.

Google اکنون وصله‌هایی را که توسط Qualcomm در ژوئن اعلام شده بود، یکپارچه کرده است. در آن زمان، این غول فناوری بی‌سیم هشدار داده بود: «نشانه‌هایی از Google Threat Analysis Group وجود دارد که CVE-2025-21479، CVE-2025-21480 و CVE-2025-27038 ممکن است تحت بهره‌برداری محدود و هدفمند قرار گرفته باشند.»

Qualcomm اعلام کرد: «وصله‌های مربوط به مشکلات Adreno Graphics Processing Unit (GPU) driver در ماه مه در اختیار OEMs قرار گرفته و توصیه جدی شده است که به‌روزرسانی در سریع‌ترین زمان ممکن روی دستگاه‌های آسیب‌پذیر اعمال شود.»

CISA نیز در ۳ ژوئن این دو باگ امنیتی را به فهرست آسیب‌پذیری‌های تحت بهره‌برداری فعال خود اضافه کرد و به سازمان‌های فدرال دستور داد تا ۲۴ ژوئن دستگاه‌های خود را در برابر این حملات ایمن کنند.

در به‌روزرسانی‌های امنیتی این ماه Android، Google همچنین یک آسیب‌پذیری امنیتی بحرانی در مؤلفه System را رفع کرده که مهاجمان بدون هیچ سطح دسترسی می‌توانند با زنجیره‌سازی آن با سایر نقص‌ها، remote code execution را در حملاتی که نیاز به تعامل کاربر ندارند، اجرا کنند.

Google دو مجموعه وصله امنیتی با سطوح ۲۰۲۵-۰۸-۰۱ و ۲۰۲۵-۰۸-۰۵ منتشر کرده است. نسخه دوم شامل تمام اصلاحات دسته اول به‌همراه وصله‌هایی برای closed-source third-party و kernel subcomponents است که ممکن است برای همه دستگاه‌های Android قابل اعمال نباشد.

در حالی که دستگاه‌های Google Pixel بلافاصله به‌روزرسانی امنیتی را دریافت می‌کنند، سایر فروشندگان معمولاً زمان بیشتری را برای آزمایش و تنظیم آن متناسب با پیکربندی سخت‌افزاری خود صرف می‌کنند.

در ماه مارس، Google دو آسیب‌پذیری zero-day مورد سوءاستفاده توسط مقامات صربستان برای بازکردن قفل دستگاه‌های Android توقیف‌شده را وصله کرد.

در نوامبر گذشته، این شرکت یک zero-day دیگر در Android (CVE-2024-43047) را که توسط دولت صربستان در حملات جاسوس‌افزار NoviSpy مورد استفاده قرار می‌گرفت، رفع کرد؛ نقصی که نخستین‌بار در اکتبر توسط Google Project Zero به‌عنوان exploited علامت‌گذاری شده بود.