Qualcomm a publié des mises à jour de sécurité pour corriger trois vulnérabilités zero-day qui, selon lui, ont été exploitées dans le cadre d’attaques limitées et ciblées dans la nature.

Les failles en question, qui ont été divulguées de manière responsable à l’entreprise par l’équipe de sécurité Android de Google, sont répertoriées ci-dessous –

• CVE-2025-21479 et CVE-2025-21480 (score CVSS : 8,6) – Deux vulnérabilités d’autorisation incorrectes dans le composant graphique qui pourraient entraîner une corruption de la mémoire en raison de l’exécution de commandes non autorisées dans le microcode du GPU lors de l’exécution d’une séquence spécifique de commandes.
• CVE-2025-27038 (score CVSS : 7,5) – Une vulnérabilité d’utilisation de mémoire après libération dans le composant Graphiques pourrait entraîner une corruption de la mémoire lors du rendu graphique à l’aide des pilotes GPU Adreno dans Chrome.

« Il existe des indications du groupe d’analyse des menaces de Google selon lesquelles les failles CVE-2025-21479, CVE-2025-21480 et CVE-2025-27038 pourraient faire l’objet d’une exploitation limitée et ciblée », a déclaré Qualcomm dans un avis.

« Des correctifs pour les problèmes affectant le pilote de l’unité de traitement graphique (GPU) Adreno ont été mis à la disposition des OEM en mai, accompagnés d’une forte recommandation de déployer la mise à jour sur les appareils concernés dès que possible. »

On ne dispose actuellement d’aucune information sur la manière dont ces vulnérabilités sont exploitées, ni sur le contexte ni sur les auteurs de ces attaques. Cela dit, des failles similaires dans les puces Qualcomm ( CVE-2023-33063, CVE-2023-33106 et CVE-2023-33107 ) ont déjà été exploitées par des fournisseurs de logiciels espions commerciaux comme Variston et Cy4Gate .

En décembre dernier, Amnesty International a révélé qu’une autre faille de sécurité dans Qualcomm ( CVE-2024-43047 ) avait été exploitée par l’Agence serbe d’information sur la sécurité (BIA) et la police serbe pour déverrouiller des appareils Android saisis appartenant à des militants, des journalistes et des manifestants en utilisant le logiciel d’extraction de données de Cellebrite pour obtenir un accès élevé et déployer un logiciel espion Android appelé NoviSpy.