Qualcomm corrige fallos de día cero en GPU Adreno

Qualcomm ha lanzado parches de seguridad críticos para tres vulnerabilidades de día cero que afectan a los controladores de la unidad de procesamiento gráfico (GPU) Adreno, utilizados en decenas de chipsets. Estas vulnerabilidades están siendo activamente explotadas en ataques dirigidos, lo que ha generado preocupación en la comunidad de ciberseguridad.

Vulnerabilidades críticas en GPU Adreno: CVE-2025-21479, CVE-2025-21480 y CVE-2025-27038

Según Qualcomm, dos de estas fallas críticas —CVE-2025-21479 y CVE-2025-21480— fueron reportadas inicialmente por el equipo de seguridad de Android de Google en enero de 2025. La tercera vulnerabilidad, clasificada como de alta gravedad y registrada como CVE-2025-27038, fue reportada en marzo del mismo año.

Las dos primeras vulnerabilidades están relacionadas con errores de autorización en el marco gráfico, que pueden derivar en corrupción de memoria cuando se ejecutan comandos no autorizados en el micronodo de la GPU dentro de una secuencia específica. Por su parte, CVE-2025-27038 es una vulnerabilidad de tipo use-after-free que permite daños en la memoria al renderizar gráficos con los controladores Adreno en el navegador Google Chrome.

Explotación activa y advertencias de Google TAG

El Grupo de Análisis de Amenazas (TAG) de Google ha detectado señales de que estas tres vulnerabilidades están siendo explotadas de forma limitada y dirigida. Qualcomm emitió un boletín de seguridad el lunes, advirtiendo sobre la urgencia de actualizar los dispositivos afectados.

Citar"Los parches para estas vulnerabilidades que afectan al controlador de GPU Adreno se han entregado a los fabricantes de equipos originales (OEM) en mayo de 2025, junto con una recomendación firme para su pronta implementación en los dispositivos afectados", indicó Qualcomm.

Nueva vulnerabilidad en Data Network Stack & Connectivity: CVE-2024-53026

Además de los fallos en los controladores de GPU, Qualcomm también ha abordado este mes una nueva vulnerabilidad —CVE-2024-53026— localizada en el componente Data Network Stack & Connectivity. Este fallo permite a atacantes no autenticados acceder a información sensible mediante paquetes RTCP maliciosos enviados durante llamadas VoLTE o VoWiFi IMS.

Antecedentes: explotación estatal de fallos en chipsets Qualcomm

En octubre de 2024, Qualcomm corrigió otro día cero (CVE-2024-43047) que fue utilizado por la Agencia de Información de Seguridad de Serbia (BIA) y la policía local para desbloquear dispositivos Android incautados de periodistas, activistas y manifestantes. Esta actividad fue posible mediante herramientas forenses como las de Cellebrite.

Durante la investigación, Google TAG encontró evidencia de que los dispositivos también estaban comprometidos con el software espía NoviSpy, instalado de forma persistente en el nivel del kernel tras evadir las defensas de Android mediante una cadena de exploits.

Historial de vulnerabilidades en GPUs y DSPs de Qualcomm

Esta no es la primera vez que Qualcomm enfrenta vulnerabilidades de día cero en sus chips. En años recientes, la empresa ha revelado y corregido múltiples fallos críticos en sus controladores de GPU y DSP de cómputo, muchos de los cuales permitían a atacantes acceder a mensajes SMS, historial de llamadas, archivos multimedia y conversaciones en tiempo real de los usuarios.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta