Qualcomm, vahşi doğada sınırlı, hedeflenen saldırılarda kullanıldığını söylediği üç sıfır günlük güvenlik açıklarını ele almak için güvenlik güncellemeleri gönderdi.
Google Android güvenlik ekibi tarafından şirkete sorumlu bir şekilde açıklanan söz konusu kusurlar aşağıda listelenmiştir –
- CVE-2025-21479 ve CVE-2025-21480 (CVSS Puanı: 8.6) – Grafik bileşeninde, belirli bir komut sırasını yürütürken GPU mikrokodunda yetkisiz komut yürütme nedeniyle bellek bozulmasına neden olabilecek iki yanlış yetkilendirme güvenlik açığı
- CVE-2025-27038 (CVSS Puanı: 7.5)-Grafik bileşeninde, Chrome’da Adreno GPU sürücülerini kullanarak grafik oluştururken bellek yolsuzluğuna neden olabilecek bir kullanımdan arınmış güvenlik açığı
Qualcomm, “Google tehdit analiz grubundan CVE-2025-21479, CVE-2025-21480, CVE-2025-27038’in sınırlı, hedefli sömürü altında olabileceğine dair göstergeler var.” Dedi.
“Adreno Grafik İşleme Birimi (GPU) sürücüsünü etkileyen sorunlar için yamalar, Mayıs ayında OEM’lere, etkilenen cihazlarda mümkün olan en kısa sürede güncellemeyi dağıtmak için güçlü bir öneri ile birlikte sunuldu.”
Şu anda güvenlik açıklarının nasıl sömürüldüğüne, hangi bağlamda ve kim tarafından nasıl kullanılmadığına dair hiçbir ayrıntı yoktur. Bununla birlikte, Qualcomm yonga setlerindeki (CVE-2023-33063, CVE-2023-33106 ve CVE-2023-33107) benzer kusurlar geçmişte Variston ve Cy4gate gibi ticari casus yazılımların tedarikçileri tarafından silahlandırılmıştır.
Geçen Aralık ayında Uluslararası Af Örgütü, Qualcomm’daki (CVE-2024-43047) başka bir güvenlik kusurunun, Sırp Güvenlik Bilgi Ajansı (BIA) ve Sırp polisi tarafından Cellebrite’nin veri casusunu kullanan aktivistlere, gazetecilere ve protestocuların kilidini açmak ve novispy olarak adlandırılan bir android veri casus yazılımına ait ele geçirilmiş Android cihazlarının kilidini açmak için kullanıldığını açıkladı.