CVE-2025-21479

Vulnérabilité Qualcomm : Escalade de privilèges via le pilote GPU Adreno

Une vulnérabilité d’autorisation incorrecte a été identifiée dans le composant graphique du pilote GPU Adreno de Qualcomm, portant le numéro CVE-2025-21479. Cette faille permet, par l’exécution d’une séquence spécifique de commandes, une corruption de mémoire via une exécution non autorisée de commandes dans le microcode du GPU.

Points Clés et Vulnérabilités :

• CVE : CVE-2025-21479
• Composant affecté : Pilote GPU Adreno de Qualcomm.
• Nature de la vulnérabilité : Autorisation incorrecte.
• Impact : Corruption de mémoire due à l’exécution de commandes non autorisées dans le microcode du GPU.
• Risque : Un score CVSS v3.1 de 8.6 (Élevé) indique un impact significatif sur la confidentialité, l’intégrité et la disponibilité.
• Exploitation : Des indications suggèrent une exploitation limitée et ciblée de cette vulnérabilité. Elle figure dans le catalogue des vulnérabilités exploitées activement (KEV) de la CISA.

Produits Concernés :

La liste des firmwares et plateformes Qualcomm affectés est étendue et comprend de nombreuses références Adreno, Snapdragon, FastConnect, et autres composants Adreno.

Recommandations :

• Qualcomm a publié des correctifs pour cette vulnérabilité.
• Les OEMs (fabricants d’équipements d’origine) sont fortement encouragés à déployer ces mises à jour sur les appareils concernés dans les plus brefs délais.
• Les utilisateurs d’appareils Meta Quest, en particulier, sont invités à désactiver les mises à jour automatiques et à isoler leurs appareils du Wi-Fi en attendant ces correctifs.

Source