Qualcomm hat drei Sicherheitslücken in seinen Adreno-GPU-Treibern schnell behoben, nachdem herauskam, dass diese bereits in begrenzten, gezielten Angriffen ausgenutzt wurden. Die Schwachstellen, registriert als CVE-2025-21479, CVE-2025-21480 und CVE-2025-27038, wurden von Googles Android-Sicherheits- und Threat-Analysis-Teams gemeldet. Alle drei könnten bei Ausnutzung unbefugten Zugriff oder Speicherfehler ermöglichen.
Zwei der Lücken betreffen fehlerhafte Autorisierung in der Grafikkomponente und sind als besonders schwerwiegend eingestuft, während sich die dritte um einen Use-after-free-Fehler bei der Grafikdarstellung mit Adreno-GPUs dreht. Obwohl Qualcomm nun Patches bereitgestellt hat, betont das Unternehmen, dass Angreifer die Schwachstellen vor der Behebung bereits gezielt missbraucht haben.
Bisher hat Qualcomm keine Details darüber veröffentlicht, wer diese Lücken ausnutzt oder welche Methoden verwendet wurden. Aus früheren Vorfällen ist jedoch bekannt, dass ähnliche Schwachstellen von Anbietern kommerzieller Spyware missbraucht wurden. Nutzer von Googles Pixel-Smartphones, die auf Tensor-Chips basieren, sind von den Adreno-Problemen nicht betroffen. Für alle anderen Geräte heißt es abwarten, bis die Hersteller passende Updates bereitstellen – ein Vorgang, der erfahrungsgemäß dauern kann.
Qualcomm fordert die Gerätehersteller auf, die Patches zu priorisieren und schnellstmöglich Updates bereitzustellen. Nutzer betroffener Modelle sollten geplante Aktualisierungen aufmerksam verfolgen und ihre Systeme stets aktuell halten. Der Vorfall führt erneut vor Augen, wie wichtig zügige Updates bei mobilen Sicherheitslücken sind – gerade dann, wenn Angriffe bereits im Gange sind.
