CVE-2025-21479

Vulnérabilité du pilote GPU Qualcomm Adreno : Exploitation et Recommandations

Une vulnérabilité d’autorisation incorrecte (CVE-2025-21479) a été identifiée dans le composant graphique des pilotes GPU Adreno de Qualcomm. Cette faille permet l’exécution de commandes non autorisées au niveau du microcode du GPU, pouvant entraîner une corruption de la mémoire système.

Points Clés :

• Nature de la vulnérabilité : Autorisation incorrecte dans le microcode du GPU.
• Impact potentiel : Corruption de la mémoire du système.
• Conditions d’exploitation : Traitement d’une séquence de commandes spécifique.
• Gravité : Score CVSS 3.1 de 8.6 (Élevé), avec un score d’impact de 6.0 et un score d’exploitabilité de 1.8.
• Produits concernés : Une large gamme de firmwares Qualcomm, incluant diverses séries Snapdragon et des composants Adreno.
• Exploitation active : La CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités exploitées, indiquant une utilisation ciblée et limitée.

Recommandations :

• Les fabricants d’équipements d’origine (OEM) doivent déployer rapidement les correctifs fournis par Qualcomm sur les appareils affectés.
• Les utilisateurs d’appareils, notamment ceux équipés de puces Adreno (tels que les Meta Quest 3/3S), sont invités à désactiver les mises à jour automatiques et à ne pas se connecter au Wi-Fi jusqu’à l’application des correctifs pour éviter l’exploitation.
• Il est impératif d’appliquer les mises à jour de sécurité recommandées par les fabricants d’appareils dès qu’elles sont disponibles.

Source