Qualcomm اقدام به وصله آسیب‌پذیری‌های بحرانی در پردازنده‌های گرافیکی Adreno کرد.

Qualcomm سه آسیب‌پذیری روز-صفر در درایور GPUهای Adreno را که در حملات هدفمند مورد سوءاستفاده قرار گرفته بودند، برطرف کرد

شرکت Qualcomm وصله‌های امنیتی مربوط به سه آسیب‌پذیری روز-صفر (Zero-Day) را در درایور Adreno Graphics Processing Unit (GPU) منتشر کرده است. این آسیب‌پذیری‌ها ده‌ها چیپست مختلف را تحت تأثیر قرار می‌دهند و طبق اعلام این شرکت، در حملات هدفمند به‌صورت فعال مورد سوءاستفاده قرار گرفته‌اند.

به گفته‌ی Qualcomm، دو آسیب‌پذیری بحرانی با شناسه‌های CVE-2025-21479 و CVE-2025-21480 در اواخر ژانویه از سوی تیم امنیتی اندروید گوگل (Google Android Security) گزارش شده‌اند. آسیب‌پذیری سوم با شدت بالا و شناسه CVE-2025-27038 در ماه مارس شناسایی شده است.

دو مورد اول از نوع ضعف در احراز هویت در چارچوب گرافیکی (Graphics framework incorrect authorization) هستند که می‌توانند منجر به خرابی حافظه (Memory Corruption) شوند؛ این خرابی ناشی از اجرای غیرمجاز دستورات در میکرونو‌د GPU هنگام اجرای یک توالی خاص از دستورات است. آسیب‌پذیری سوم (CVE-2025-27038) از نوع Use-After-Free بوده و در زمان رندرینگ گرافیک از طریق درایور GPU Adreno در مرورگر Chrome منجر به خرابی حافظه می‌شود.

Qualcomm در اطلاعیه رسمی روز دوشنبه هشدار داد:
«نشانه‌هایی از سوی Google Threat Analysis Group (TAG) وجود دارد که نشان می‌دهد آسیب‌پذیری‌های CVE-2025-21479، CVE-2025-21480 و CVE-2025-27038 در حال بهره‌برداری محدود و هدفمند هستند.»

وصله‌های امنیتی این آسیب‌پذیری‌ها در ماه مه برای سازندگان تجهیزات (OEMs) در دسترس قرار گرفته و این شرکت به‌طور جدی توصیه کرده است که این به‌روزرسانی‌ها هرچه سریع‌تر روی دستگاه‌های آسیب‌پذیر اعمال شوند.

آسیب‌پذیری‌های دیگر وصله‌شده در ماه جاری

علاوه بر موارد فوق، Qualcomm در همین ماه یک آسیب‌پذیری دیگر با شناسه CVE-2024-53026 را در بخش Data Network Stack & Connectivity برطرف کرده است. این آسیب‌پذیری از نوع Buffer Over-read است که به مهاجمان غیرمجاز اجازه می‌دهد از طریق ارسال بسته‌های RTCP نامعتبر در تماس‌های VoLTE / VoWiFi IMS به اطلاعات حساس دسترسی یابند.

سوءاستفاده‌ از آسیب‌پذیری‌ها توسط نهادهای اطلاعاتی

در اکتبر گذشته نیز آسیب‌پذیری روز-صفر دیگری با شناسه CVE-2024-43047 توسط Qualcomm وصله شد که به‌گفته‌ی گزارش‌ها، توسط آژانس اطلاعاتی صربستان (BIA) و پلیس این کشور برای باز کردن قفل دستگاه‌های اندرویدی توقیف‌شده متعلق به فعالان، روزنامه‌نگاران و معترضان با استفاده از نرم‌افزار استخراج داده‌ی Cellebrite مورد سوءاستفاده قرار گرفته بود.

در جریان تحقیقات، گروه تحلیل تهدید گوگل (TAG) شواهدی یافت که نشان می‌داد دستگاه‌ها همچنین به جاسوس‌افزار NoviSpy آلوده شده بودند. این بدافزار از یک زنجیره بهره‌برداری برای دور زدن مکانیسم‌های امنیتی اندروید استفاده کرده و به‌صورت ماندگار در سطح کرنل نصب می‌شده است.

سابقه تکرار‌شونده آسیب‌پذیری در GPU و DSP

یک سال پیش نیز Qualcomm هشدار داده بود که مهاجمان از سه آسیب‌پذیری روز-صفر دیگر در درایورهای GPU و Compute DSP این شرکت سوءاستفاده کرده‌اند.

در سال‌های اخیر، Qualcomm آسیب‌پذیری‌های متعددی را در چیپست‌های خود وصله کرده که به مهاجمان امکان دسترسی به پیامک‌ها، تاریخچه تماس، فایل‌های رسانه‌ای و حتی مکالمات زنده کاربران را می‌دادند.