Ciberseguridad 360 | Qualcomm corrige 3 zero-days explotados en dispositivos Android

Qualcomm ha enviado actualizaciones de seguridad para solucionar tres vulnerabilidades zero-day que, seg�n afirma, han sido explotadas en ataques limitados y selectivos.

Los fallos en cuesti�n, que fueron revelados a la empresa por el equipo de seguridad de Android de Google, se enumeran a continuaci�n:

CVE-2025-21479 y CVE-2025-21480 (puntuaci�n CVSS: 8.6): dos vulnerabilidades de autorizaci�n incorrecta en el componente Graphics que podr�an provocar da�os en la memoria debido a la ejecuci�n no autorizada de comandos en el microc�digo de la GPU durante la ejecuci�n de una secuencia espec�fica de comandos.

CVE-2025-27038 (puntuaci�n CVSS: 7.5): una vulnerabilidad de uso despu�s de la liberaci�n en el componente Graphics que podr�a provocar da�os en la memoria durante la representaci�n de gr�ficos utilizando controladores Adreno GPU en Chrome.

"Hay indicios del Grupo de An�lisis de Amenazas de Google de que CVE-2025-21479, CVE-2025-21480, CVE-2025-27038 pueden estar bajo explotaci�n limitada y dirigida", dijo Qualcomm en un aviso.

"Los parches para los problemas que afectan al controlador de la unidad de procesamiento gr�fico (GPU) Adreno se han puesto a disposici�n de los fabricantes de equipos originales en mayo, junto con la firme recomendaci�n de desplegar la actualizaci�n en los dispositivos afectados lo antes posible."

Por el momento no hay detalles sobre c�mo se est�n explotando las vulnerabilidades, en qu� contexto y por qui�n. Dicho esto, fallos similares en los chipsets de Qualcomm (CVE-2023-33063, CVE-2023-33106 y CVE-2023-33107) han sido utilizados en el pasado por proveedores de programas esp�a comerciales como Variston y Cy4Gate.

El pasado diciembre, Amnist�a Internacional revel� que otro fallo de seguridad de Qualcomm (CVE-2024-43047) hab�a sido aprovechado por la Agencia de Informaci�n de Seguridad de Serbia (BIA) y la polic�a serbia para desbloquear dispositivos Android incautados pertenecientes a activistas, periodistas y manifestantes utilizando el software de extracci�n de datos de Cellebrite para obtener un acceso elevado y desplegar un programa esp�a para Android llamado NoviSpy.

Fuente: thehackernews