CVE-2025-21479

Impact de la faille de sécurité sur les puces Qualcomm

Une vulnérabilité de contrôle d’accès non autorisé a été identifiée dans le composant graphique des pilotes Adreno GPU de Qualcomm. Cette faille permet l’exécution de commandes non autorisées au sein du microcode du GPU lors du traitement d’une séquence de commandes spécifique, entraînant une corruption de la mémoire.

Points clés :

• Vulnérabilité : CVE-2025-21479
• Composant affecté : Composant graphique des pilotes Adreno GPU de Qualcomm.
• Type de vulnérabilité : Autorisation incorrecte (Incorrect Authorization).
• Conséquence : Corruption de la mémoire due à l’exécution de commandes non autorisées dans le microcode du GPU.
• Score CVSS 3.1 : 8.6 (élevé).
• Exploitation : Il existe des indications que cette vulnérabilité fait l’objet d’une exploitation ciblée et limitée. Elle a été ajoutée au catalogue des vulnérabilités connues et exploitées par CISA le 3 juin 2025.
• Produits affectés : Une large gamme de firmwares et plateformes Qualcomm, incluant divers chipsets Snapdragon, FastConnect, Adreno et des composants audio/modem.

Vulnérabilité spécifique :

• CVE-2025-21479 : Corruption de mémoire due à l’exécution de commandes non autorisées dans le microcode du GPU lors de l’exécution d’une séquence de commandes spécifique.

Recommandations :

• Qualcomm a publié des correctifs pour cette vulnérabilité.
• Les fabricants d’équipement d’origine (OEM) sont invités à déployer ces mises à jour sur les appareils concernés dans les plus brefs délais.
• Les utilisateurs sont encouragés à mettre à jour leurs appareils dès que les correctifs sont disponibles, notamment ceux concernant les mises à jour de sécurité Android d’août 2025 qui abordent cette faille.
• En cas de vulnérabilité exploitée activement, il est conseillé de suivre les instructions du fournisseur pour l’application des correctifs ou de cesser l’utilisation du produit si les correctifs ne sont pas disponibles.

Source