Qualcomm, Adreno Grafik İşleme Birimi (GPU) sürücüsünde düzinelerce yonga setini etkileyen ve hedeflenen saldırılarda aktif olarak sömürülen üç sıfır günlük güvenlik açıkları için güvenlik yamaları yayınladı.
Şirket, Ocak ayı sonlarında Google Android güvenlik ekibi aracılığıyla iki kritik kusurun (CVE-2025-21479 ve CVE-2025-21479 ve CVE-2025-21480 olarak izlenen) bildirildiğini ve Mart ayında üçüncü bir yüksek şiddetli güvenlik açığı (CVE-2025-27038) bildirildiğini söylüyor.
İlk ikisi, belirli bir komut dizisi yürütürken, GPU mikronodunda yetkisiz komut yürütme nedeniyle bellek bozulmasına yol açabilecek her ikisi de grafik çerçeve yanlış yetkilendirme zayıflıklarıdır, CVE-2025-27038, Chrom’da adlı gpu sürücülerini kullanarak grafikler oluştururken bellek bozulmasıdır.
Qualcomm, Pazartesi danışmanında “Google Tehdit Analiz Grubundan CVE-2025-21479, CVE-2025-21480, CVE-2025-27038’in sınırlı, hedefli sömürü altında olabileceğine dair göstergeler var.”
“Adreno Grafik İşleme Birimi (GPU) sürücüsünü etkileyen sorunlar için yamalar, Mayıs ayında OEM’lere, etkilenen cihazlarda mümkün olan en kısa sürede güncellemeyi dağıtmak için güçlü bir öneri ile birlikte sunuldu.”
Bu ay, Qualcomm ayrıca, bir Volte/VoWifi IMS çağrıları sırasında gönderilen geçersiz RTCP paketleri kullanılarak kısıtlı bilgilere erişim elde edebilecekleri Veri Ağı Yığın ve Bağlantısında (CVE-2024-53026) aşırı okunan bir arabelleğe de hitap etti.
Ekim ayında şirket, Sırp Güvenlik Bilgi Ajansı (BIA) ve Sırp polisinin Cellebrite veri çıkarma yazılımını kullanarak aktivistlere, gazetecilere ve protestoculara ait ele geçirilmiş Android cihazların kilidini açmak için sömürdüğünü başka bir sıfır gün (CVE-2024-43047) düzeltti.
Saldırıları araştırırken, Google’ın Tehdit Analiz Grubu (TAG), cihazlara Android’in güvenlik mekanizmalarını atlatmak ve kendini çekirdek seviyesine takmak için bir istismar zinciri kullanılarak Novispy casus yazılımlarla enfekte olduğunu gösteren kanıtlar buldu.
Bir yıl önce Qualcomm, tehdit aktörlerinin GPU’sunda üç sıfır günlük güvenlik açıkından yararlandığı ve DSP sürücülerini hesapladığı konusunda da uyardı.
Son yıllarda şirket, saldırganların kullanıcıların kısa mesajlarına, çağrı geçmişine, medya dosyalarına ve gerçek zamanlı konuşmalara erişmesine izin verebilecek çeşitli diğer yonga seti güvenlik kusurlarını yamaladı.
Manuel yama modası geçmiş. Yavaş, hataya eğilimli ve ölçeklenmesi zor.
Eski yöntemlerin neden yetersiz kaldığını görmek için 4 Haziran’da Kandji + Tines’e katılın. Modern ekiplerin otomasyonu nasıl daha hızlı yama, riski kesmek, uyumlu kalmak ve karmaşık komut dosyalarını atlamak için otomasyonu nasıl kullandığına dair gerçek dünya örneklerine bakın.