CVE-2025-21479

Vulnérabilité Majeure dans les Pilotes GPU Qualcomm

Une faille critique, référencée CVE-2025-21479, a été identifiée dans le composant graphique des pilotes GPU Adreno de Qualcomm. Cette vulnérabilité de type “mauvaise autorisation” permet l’exécution de commandes non autorisées dans le microcode du GPU.

Points Clés :

• Nature de la faille : Mauvaise autorisation (Incorrect Authorization) dans le traitement de séquences de commandes spécifiques.
• Conséquence : Corruption de la mémoire du système.
• CVSS 3.1 : Score de base de 8.6 (Critique).
• Impact : Permet l’exécution de commandes non autorisées, potentiellement pour des attaques ciblées.
• Exploitation : La vulnérabilité est considérée comme activement exploitée dans des attaques ciblées. Des preuves suggèrent une exploitation limitée mais ciblée.
• Produits Affectés : Un large éventail de firmwares et de plateformes Snapdragon, notamment ceux utilisés dans les appareils mobiles et les VR/AR (comme le Meta Quest 3).

Vulnérabilité :

• CVE : CVE-2025-21479
• Description : Corruption de la mémoire due à l’exécution de commandes non autorisées dans le microcode du GPU lors de l’exécution d’une séquence de commandes spécifique.

Recommandations :

• Qualcomm a publié des correctifs pour cette vulnérabilité.
• Les fabricants d’équipements d’origine (OEM) sont instamment priés de déployer ces mises à jour sur les appareils concernés dès que possible.
• Les utilisateurs d’appareils Android sont encouragés à appliquer les mises à jour de sécurité mensuelles de Google.
• Pour les appareils Meta Quest 3, il est conseillé de désactiver les mises à jour et de ne pas se connecter au Wi-Fi si l’on souhaite conserver un accès root, car la dernière mise à jour corrige cette faille.

Source