高通发布公告透露谷歌威胁分析小组发现的3个已被黑客利用的安卓GPU漏洞
山外的鸭子哥
#安全资讯 高通发布安全公告透露谷歌威胁分析小组发现的 3 个、已经被黑客利用的零日漏洞,均位于 Android 图形组件中。这些漏洞分别在 1 月份和 3 月份报告给高通,高通在 5 月份向 OEM 提供补丁,在 6 月 2 日发布安全公告。查看全文:https://ourl.co/109212
谷歌 Android 安全团队日前披露高通相关组件中的安全漏洞,这些漏洞目前已经有补丁可以修复,但谷歌预留更多时间给高通修复漏洞避免提前暴露漏洞后引起更多攻击。
高通在 2025 年 6 月 2 日发布的安全公告中对这些漏洞的情况进行说明,高通称已经在 5 月份向 Android OEM 提供补丁,强烈建议用户在受影响的设备上部署更新 (当然,前提是 OEM 得发布软件更新才行)。
下面是漏洞概览:
CVE-2025-21479:评分为 8.6/10 分,图形组件中的不正确授权漏洞,在执行特定命令序列时,由于 GPU 微码中未经授权的命令执行可导致内存损坏。
CVE-2025-21480:评分为 8.6/10 分,图形组件中的不正确授权漏洞,在执行特定命令序列时,由于 GPU 微码中未经授权的命令执行可导致内存损坏。
CVE-2025-27038:评分为 7.5/10 分,图形组件中存在的释放后使用漏洞 (UaF),可能导致在 Chrome 中使用 Adreno GPU 驱动程序渲染图形时出现内存损坏。
谷歌威胁分析小组提供的分析表明,以上三枚漏洞都可能受到有限的、有针对性的利用。根据高通公布的时间线,21479/21480 漏洞是谷歌在 2025 年 1 月 24 日报告的,而 27038 则是谷歌在 3 月 10 日报告的,没想到这么长时间后高通才修复漏洞。
目前高通和谷歌都没有透露哪些黑客在利用这些漏洞发起攻击、具体的攻击方法是什么,毕竟考虑到大部分 Android OEM 的更新速度,如果爆出漏洞完整细节则可能引起更大范围的攻击。
使用安卓设备的用户记得检查系统更新,如果有更新的话记得及时安装,部分设备可能早已被 OEM 放弃更新因此没有补丁,这种情况下也没有其他更好办法。
