【安全资讯】高通修复Adreno GPU驱动中三个被利用的零日漏洞

概要：

高通公司近日修复了Adreno图形处理单元（GPU）驱动中的三个零日漏洞，这些漏洞影响了数十款芯片组，并已被用于针对性攻击。这些漏洞可能导致内存损坏，甚至允许攻击者在设备上执行未经授权的命令。高通强烈建议设备制造商尽快部署相关补丁，以防范潜在的安全风险。

主要内容：

高通公司发布的安全补丁涉及三个零日漏洞，其中两个关键漏洞（CVE-2025-21479和CVE-2025-21480）由谷歌Android安全团队在1月底报告，另一个高危漏洞（CVE-2025-27038）则在3月被发现。前两个漏洞属于图形框架授权错误问题，可能导致GPU微节点在执行特定命令序列时发生内存损坏。第三个漏洞则是由于在Chrome中使用Adreno GPU驱动渲染图形时出现“释放后使用”问题，进而引发内存损坏。

谷歌威胁分析小组（TAG）指出，这些漏洞可能已被用于有限的针对性攻击。高通在5月已向原始设备制造商（OEM）提供了补丁，并强烈建议受影响设备尽快更新。此外，高通还修复了数据网络堆栈和连接性中的一个缓冲区过度读取漏洞（CVE-2024-53026），攻击者可通过发送无效的RTCP数据包在VoLTE/VoWiFi IMS通话中获取受限信息。

此次事件并非高通首次面临零日漏洞问题。去年10月，该公司修复了另一个被塞尔维亚安全信息局（BIA）和警方利用的零日漏洞（CVE-2024-43047），该漏洞用于解锁被扣押的Android设备。调查中还发现，攻击者使用NoviSpy间谍软件绕过Android安全机制，并在内核级别持久安装恶意代码。

高通近年来多次修补芯片组安全漏洞，这些漏洞可能泄露用户的短信、通话记录、媒体文件甚至实时对话内容。此次事件再次凸显了及时更新补丁的重要性，尤其是在面对日益复杂的网络攻击时。