Qualcomm corrige fallos críticos de día cero en GPUs Adreno utilizados en ataques a Android

Qualcomm ha abordado finalmente tres vulnerabilidades de día cero en las GPUs Adreno que estaban siendo explotadas activamente. Según el Boletín de Seguridad de Android de junio de 2025, el fabricante de chips ha corregido las vulnerabilidades CVE-2025-21479, CVE-2025-21480 y CVE-2025-27038. Las dos primeras son fallos de autorización incorrecta en el componente gráfico, con una puntuación de gravedad de 8.6/10 (alta), y podrían provocar corrupción de memoria. Estas fueron observadas por primera vez en enero de 2025. El tercer fallo es una vulnerabilidad de tipo use-after-free en el componente gráfico que también conduce a corrupción de memoria, con una puntuación de gravedad menor de 7.5/10. Según el Grupo de Análisis de Amenazas de Google, hay indicios de que las vulnerabilidades CVE-2025-21479, CVE-2025-21480 y CVE-2025-27038 podrían estar bajo explotación limitada y dirigida. Qualcomm ha corregido estas vulnerabilidades, pero ahora los fabricantes de equipos originales (OEM) deben aplicar los parches. Se recomienda a los usuarios mantenerse alerta, aunque no se han reportado afectaciones a la información de pagos.