- Telefones Android possivelmente ameaçados por preocupar a ameaça à segurança
- Os lançamentos da Qualcomm corrigem para duas grandes falhas em maio e instou os OEMs a aplicá -lo
- O Google lançou um patch, para que os usuários devem atualizar agora
O Google corrigiu uma grande vulnerabilidade que afeta os smartphones Android que está sendo explorada ativamente na natureza.
Em junho de 2025, a Qualcomm anunciou publicamente a descoberta de três vulnerabilidades: CVE-2025-21479, CVE-2025-21480, CVE-2025-27038, dizendo que eram “indicações” do grupo de análise de ameaças do Google (TAG), as falhas estavam sendo usadas em “Explicação de direcionada” do Google “” do Google (TAG).
A TAG se concentra especificamente no rastreamento de atores de ameaças patrocinados pelo Estado, juntamente com outros grupos de hackers altamente sofisticados; portanto, se estes estavam sendo usados em exploração limitada e direcionada, é seguro supor que estes estados-nação direcionassem indivíduos de alto valor, como diplomatas, jornalistas, dissidentes, cientistas e semelhantes.
CISA soa o alarme
Na época, a Qualcomm também instou os OEMs (como o Google), a implantar o patch em seus produtos sem demora.
“Os patches para os problemas que afetam o driver da Adreno Graphics Processing Unit (GPU) foram disponibilizados aos OEMs em maio, juntamente com uma forte recomendação para implantar a atualização dos dispositivos afetados o mais rápido possível”, disse a Qualcomm.
O Google agora emitiu a atualização de agosto de 2025 para o Android, que inclui correções para duas das falhas: CVE-2025-21479 e CVE-2025-27038.
O primeiro é descrito como “corrupção da memória devido à execução de comando não autorizada no micronode GPU durante a execução da sequência específica de comandos” e recebeu uma pontuação de gravidade de 8,6/10 (alta). Este último é descrito como “corrupção da memória ao renderizar gráficos usando drivers de GPU adreno no Chrome”, com uma pontuação de gravidade de 7,5/10 (alta).
A Agência de Segurança de Segurança Cibernética e Infraestrutura dos EUA (CISA) também adicionou esses dois bugs ao seu catálogo conhecido de vulnerabilidades exploradas (KEV) em 3 de junho, dando às organizações federais do ramo executivo civil (FCEB) um prazo de três semanas para consertar ou parar de usar o software vulnerável inteiramente.
Dada a estrutura descentralizada do Android, é seguro supor que diferentes dispositivos (por exemplo, a linha de galáxias da Samsung ou a linha One OnePlus) estarão recebendo essas atualizações em momentos diferentes. O Pixel, sendo a linha de telefones celulares do Google, provavelmente receberá as atualizações primeiro.
Via BleepingComputer
Fique conectado