Google a publié des mises à jour de sécurité pour aborder plusieurs défauts de sécurité dans Android, y compris des correctifs pour deux bogues Qualcomm qui ont été signalés comme activement exploités dans la nature.
Les vulnérabilités comprennent le CVE-2025-21479 (score CVSS: 8,6) et CVE-2025-27038 (score CVSS: 7,5), tous deux divulgués aux côtés de CVE-2025-21480 (score CVSS: 8,6), par le chipmaker en juin 2025.
Le CVE-2025-21479 concerne une vulnérabilité d’autorisation incorrecte dans le composant graphique qui pourrait conduire à la corruption de la mémoire en raison de l’exécution de commandes non autorisée dans le microcode GPU.
CVE-2025-27038, en revanche, une vulnérabilité d’utilisation après la non-non-composante graphique qui pourrait entraîner une corruption de la mémoire tout en rendant les graphiques à l’aide de pilotes GPU Adreno dans Chrome.
Il n’y a toujours pas de détails sur la façon dont ces lacunes ont été armées dans des attaques du monde réel, mais Qualcomm a noté au moment où “il y a des indications du groupe d’analyse de Google Threat que CVE-2025-21479, CVE-2025-21480, CVE-2025-27038 peut être soumis à une exploitation limitée et ciblée.”
Étant donné que des défauts similaires dans les chipsets Qualcomm ont été exploités par des fournisseurs de logiciels espioniques commerciaux comme Variston et Cy4gate dans le passé, il est soupçonné que les lacunes susmentionnées peuvent également avoir été abusées dans un contexte similaire.
Les trois vulnérabilités ont depuis été ajoutées au catalogue de vulnérabilités exploité (CISA) de la Cybersecurity and Infrastructure Agency (CISA) des États-Unis (KEV), obligeant les agences fédérales à appliquer les mises à jour d’ici le 24 juin 2025.
Le correctif d’août 2025 de Google résout également deux défauts d’escalade de privilèges de haute sévérité dans Android Framework (CVE-2025-22441 et CVE-2025-48533) et un bug critique dans le composant système (CVE-2025-48530) qui pourrait entraîner une exécution de code à distance lorsqu’ils sont combinés avec d’autres flaws sans nécessiter de privilèges supplémentaires ou d’interaction utilisateur.
Le géant de la technologie a mis à disposition deux niveaux de correctifs, 2025-08-01 et 2025-08-05, ces derniers incorporant également des correctifs pour les composants à source fermée et tiers d’ARM et Qualcomm. Il est conseillé aux utilisateurs d’appareils Android d’appliquer les mises à jour au fur et à mesure qu’ils deviennent disponibles pour rester protégés contre les menaces potentielles.
