קוואלקום (Qualcomm) פרסמה עדכון אבטחה חדש לטיפול בשלוש פרצות “יום אפס” (zero-day) שנוצלו בהתקפות ממוקדות. הפרצות התגלו על ידי צוות האבטחה של גוגל ככאלה הפוגעות בליבה הגרפית של קוואלקום ומאפשרות לגורמים זדוניים לתקוף משתמשים, אם כי החברה לא מסרה פרטים נוספים על אופן התקיפה בפועל.
על פי קוואלקום, צוות ה-Threat Analysis Group של גוגל סיפק אינדיקציות כי שלושת הפרצות נוצלו בהתקפות מוגבלות. תיקונים לבעיות המשפיעות על דרייבר יחידת העיבוד הגרפי Adreno הועברו ליצרני המכשירים בחודש מאי עם המלצה להפיץ אותן בצורה מיידית למשתמשי הקצה.
שלוש הפרצות מתחלקות למעשה לשתי קבוצות:
- פרצות CVE-2025-21479 ו-CVE-2025-21480 (ציון חומרה 8.6) – פרצות בעיית הרשאה שגויה ברכיב הגרפיקה העלולות לגרום להשחתת הזיכרון עקב ביצוע פקודות לא מורשות במיקרוקוד של הליבה הגרפית.
- פרצת CVE-2025-27038 (ציון חומרה 7.5) – פרצת “שימוש לאחר שחרור” (use-after-free) ברכיב הגרפי העלולה להוביל לשחיתות זיכרון בעת עיבוד גרפיקה בדרייברי Adreno GPU בדפדפן הכרום.
בעוד קוואלקום לא חשפה פרטים על אופן ניצול הפרצות או זהות התוקפים. פרצות אבטחה דומות בשבבי קוואלקום בעבר נוצלו על ידי ספקי תוכנות ריגול מסחריות כמו Variston ו-Cy4Gate.
עדכוני האבטחה זמינים כעת ליצרני המכשירים, ומומלץ למשתמשים להתקין עדכונים זמינים בהקדם כדי להגן מפני ניצול הפרצות.
