高通近日發(fā)布了新的安全補(bǔ)丁，修復(fù)了其Adreno圖形處理器驅(qū)動(dòng)程序中的三項(xiàng)零日漏洞，據(jù)稱，這些漏洞影響了數(shù)十個(gè)芯片組，并且已在針對(duì)Android設(shè)備的攻擊中被利用，可能允許攻擊者獲取設(shè)備控制權(quán)或安裝間諜軟件。

這三項(xiàng)漏洞分別為CVE-2025-21479、CVE-2025-21480和CVE-2025-27038。

其中，前兩項(xiàng)為圖形組件中的授權(quán)錯(cuò)誤漏洞，攻擊者可通過特定命令序列在 GPU 微代碼中執(zhí)行未授權(quán)命令，導(dǎo)致內(nèi)存損壞，嚴(yán)重程度評(píng)分為 8.6（高）。第三項(xiàng)為使用后釋放（use-after-free）漏洞，在Chrome中使用Adreno GPU驅(qū)動(dòng)程序渲染圖形時(shí)，會(huì)導(dǎo)致內(nèi)存損壞，嚴(yán)重程度評(píng)分為7.5（高）。

這些漏洞最初由谷歌Android安全團(tuán)隊(duì)在2025年1月下旬和3月報(bào)告，谷歌威脅分析小組（TAG）表示，已有證據(jù)表明這些漏洞正在被用于有限的、針對(duì)性的攻擊。

目前，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）已將這三項(xiàng)漏洞添加到其已知被利用漏洞（KEV）目錄中，要求所有聯(lián)邦機(jī)構(gòu)在2025年6月24日之前應(yīng)用供應(yīng)商提供的補(bǔ)丁，強(qiáng)調(diào)了這些漏洞的緊迫性和嚴(yán)重性。

對(duì)此，高通在周一的公告中回應(yīng)道，影響Adreno圖形處理單元驅(qū)動(dòng)程序的問題的補(bǔ)丁已于5月提供給OEM廠商，并強(qiáng)烈建議OEM廠商和消費(fèi)者盡快在受影響的設(shè)備上部署更新。