谷歌Android安全团队向高通报告了三个漏洞(编号CVE-2025-21479、CVE-2025-21480、CVE-2025-27038)。高通在公告中称:"根据谷歌威胁分析小组的迹象表明,这三个漏洞可能正被用于有限范围的针对性攻击。"该公司已于五月向设备制造商提供针对Adreno图形处理器(GPU)驱动程序的补丁,并强烈建议受影响设备尽快部署更新。
漏洞详情如下:
CVE-2025-21479(CVSS评分8.6):图形组件授权不当漏洞。"执行特定命令序列时,GPU微节点未授权命令执行导致内存损坏。"
CVE-2025-21480(CVSS评分8.6):图形窗口授权不当漏洞。"执行特定命令序列时,GPU微节点未授权命令执行导致内存损坏。"
CVE-2025-27038(CVSS评分7.5):图形组件释放后重用漏洞。"Chrome浏览器使用Adreno GPU驱动渲染图形时引发内存损坏。"
高通未透露利用这些漏洞的攻击细节。值得注意的是,2024年10月美国网络安全和基础设施安全局(CISA)曾将高通多芯片组释放后重用漏洞(CVE-2024-43047)列入已知被利用漏洞目录。该漏洞源于数字信号处理器(DSP)服务的释放后重用缺陷,影响数十款芯片组。谷歌零项目研究员Seth Jenkins与国际特赦组织安全实验室研究员王聪慧共同报告该漏洞,Jenkins当时建议Android设备应立即修复。谷歌威胁分析小组证实该漏洞被用于针对性攻击,王聪慧也确认存在在野利用活动。尽管研究人员未披露攻击细节,但两家机构均以调查商业间谍软件相关网络攻击著称。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...