CVE-2025-21479

Vulnérabilité Majeure dans les Pilotes GPU Qualcomm Adreno

CVE-2025-21479 représente une faille critique d’autorisation incorrecte au sein du composant graphique des pilotes Adreno GPU de Qualcomm. Cette vulnérabilité permet l’exécution non autorisée de commandes dans le microcode du GPU, pouvant mener à une corruption de la mémoire système.

Points Clés :

• Nature de la faille : Autorisation incorrecte.
• Impact : Corruption de mémoire due à l’exécution de commandes non autorisées dans le microcode GPU lors du traitement d’une séquence spécifique de commandes.
• Score CVSS 3.1 : 8.6 (élevé).
• Exploitation : Indications de ciblage et d’exploitation limitée de cette vulnérabilité. Elle a été ajoutée au catalogue des vulnérabilités activement exploitées de la CISA le 3 juin 2025, avec une action requise pour le 24 juin 2025.
• Produits affectés : Une large gamme de firmwares et plateformes Qualcomm, incluant de nombreux modèles Snapdragon et les firmwares associés aux chipsets de connexion et audio.

Vulnérabilités Identifiées :

• CVE-2025-21479 : Autorisation incorrecte dans les pilotes Adreno GPU.

Recommandations :

• Qualcomm a publié des correctifs pour cette vulnérabilité.
• Les Fabricants d’Équipements d’Origine (OEM) sont fortement encouragés à déployer ces mises à jour sur les appareils affectés dans les plus brefs délais.
• Il est conseillé aux utilisateurs de maintenir leurs appareils à jour avec les derniers correctifs de sécurité Android, tels que ceux publiés en août 2025, qui adressent cette faille.
• Pour les utilisateurs de Meta Quest 3/3S, il est recommandé de désactiver les mises à jour et de se déconnecter du Wi-Fi pour prévenir l’application du correctif et ainsi maintenir la possibilité d’une escalade de privilèges.

Source