Patches unterwegs
Qualcomm: Kritische Zero-Day-Schwachstellen in Adreno GPU-Treibern entdeckt
Qualcomm hat Anfang des Monats drei Zero-Day-Lücken behoben, die wohl aktiv ausgenutzt wurden. Als Einfallstor für die Angreifer fungierte der Adreno-GPU-Treiber.
In den Treibern für die Adreno-Grafikprozessoren (GPUs) von Qualcomm wurden mehrere schwerwiegende Sicherheitslücken identifiziert, die bereits aktiv von Angreifern ausgenutzt werden. Qualcomm hat in seinem aktuellen Security Bulletin auf diese kritischen Schwachstellen hingewiesen, die ein hohes ...
In den Treibern für die Adreno-Grafikprozessoren (GPUs) von Qualcomm wurden mehrere schwerwiegende Sicherheitslücken identifiziert, die bereits aktiv von Angreifern ausgenutzt werden. Qualcomm hat in seinem aktuellen Security Bulletin auf diese kritischen Schwachstellen hingewiesen, die ein hohes Risikopotenzial für Millionen von Smartphones und anderen mobilen Geräten darstellen.
Insgesamt wurden drei Zero-Day-Sicherheitslücken identifiziert, die von Qualcomm inzwischen mit Sicherheitspatches adressiert wurden. Diese Schwachstellen werden unter den Bezeichnungen CVE-2025-21479, CVE-2025-21480 und CVE-2025-27038 geführt. Die ersten beiden Schwachstellen wurden bereits im Januar 2025 durch Googles Android-Sicherheitsteam an Qualcomm gemeldet, während die dritte im März 2025 entdeckt wurde.
Die beiden ersten Sicherheitslücken (CVE-2025-21479 und CVE-2025-21480) sind als "Incorrect Authorization"-Schwachstellen klassifiziert und erhalten einen hohen CVSS-Wert von 8,6, was ihre Gefährlichkeit unterstreicht. Trotz dieser Einstufung bewertet Qualcomm selbst diese Lücken als kritisch. Bei diesen Schwachstellen handelt es sich um Fehler im Grafikframework, die zu einer Speicherbeschädigung führen können, wenn eine spezifische Befehlssequenz im GPU-Micronode ausgeführt wird.
Die dritte Schwachstelle (CVE-2025-27038) ist eine "Use-After-Free"-Sicherheitslücke, die auftritt, während Grafiken mit Adreno-GPU-Treibern in Chrome gerendert werden. Diese trat im März 2025 zutage und ergänzt die bereits kritische Sicherheitslage.
In seiner Reaktion auf die entdeckten Schwachstellen hat Qualcomm bereits im Mai 2025 Sicherheitspatches an die Gerätehersteller (OEMs) verteilt und diese aufgefordert, die Updates dringend auf betroffenen Geräten zu implementieren. Google hat bestätigt, dass seine eigene Pixel-Smartphone-Reihe von diesen Schwachstellen nicht betroffen ist.
Für Endnutzer bedeutet dies, dass sie ihre Geräte unbedingt aktualisieren sollten, sobald Sicherheitsupdates verfügbar sind. Da jedoch die Verteilung von Updates durch die verschiedenen Gerätehersteller erfolgt, kann es je nach Hersteller und Modell zu unterschiedlichen Zeitplänen kommen.
