CVE-2025-21479

1 minute de lecture

Mis à jour : August 24, 2025

Escalade de privilèges dans les pilotes graphiques Qualcomm

Une faille de sécurité, identifiée sous le nom de CVE-2025-21479, affecte le composant graphique des pilotes du processeur graphique Adreno de Qualcomm. Cette vulnérabilité d’autorisation incorrecte peut permettre à des acteurs malveillants d’exécuter des commandes non autorisées au sein du microcode du GPU.

Points clés et vulnérabilités

Description : Corruption de mémoire due à l’exécution de commandes non autorisées dans le microcode du GPU lors du traitement d’une séquence spécifique de commandes.
Vulnérabilité identifiée : CVE-2025-21479
Type de vulnérabilité : Autorisation incorrecte (Incorrect Authorization)
Composant affecté : Composant graphique des pilotes GPU Adreno de Qualcomm.
Impact potentiel : Corruption de la mémoire système, permettant l’exécution de commandes non autorisées.
Score CVSS 3.1 : 8.6 (Critique)
Exploitation : Il existe des indications d’exploitation limitée et ciblée de cette vulnérabilité. La CISA (Cybersecurity and Infrastructure Security Agency) l’a ajoutée à son catalogue des vulnérabilités exploitées.

Produits affectés

La vulnérabilité concerne un large éventail de firmwares et de plateformes Qualcomm, notamment :

Divers firmwares FastConnect (6200, 6700, 6900, 7800, 6800, etc.)
Plateformes mobiles Snapdragon (4 Gen 1, 460, 480, 662, 680, 690, 720g, 778g, 8 Gen 2, 8 Gen 3, 855, 865, 870, 888, etc.)
Modem-RF System Snapdragon X55 5G
Divers chipsets WCD, WCN, WSA.

Recommandations

Qualcomm a publié des correctifs pour cette vulnérabilité.
Les fabricants d’équipements d’origine (OEM) sont fortement encouragés à déployer ces mises à jour sur les appareils affectés dans les plus brefs délais.
Les utilisateurs sont conseillés d’appliquer les mises à jour de sécurité Android fournies par leurs fabricants pour corriger cette faille.
La CISA recommande d’appliquer les mesures d’atténuation conformément aux instructions du fournisseur, de suivre les directives applicables pour les services cloud, ou d’arrêter l’utilisation du produit si des mesures d’atténuation ne sont pas disponibles.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-21479

Escalade de privilèges dans les pilotes graphiques Qualcomm

Points clés et vulnérabilités

Produits affectés

Recommandations

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast