Qualcomm a corrigé trois failles de sécurité de type » zero-day » qui, selon lui, pourraient déjà avoir été exploitées. Dans un bulletin de sécurité publié lundi, la société a révélé que le problème affecte un pilote pour l’unité de traitement graphique Adreno, qui se trouve dans les appareils équipés de ses processeurs Snapdragon.
« Le groupe d’analyse des menaces de Google indique que CVE-2025-21479, CVE-2025-21480 et CVE-2025-27038 pourraient faire l’objet d’une exploitation limitée et ciblée », a déclaré Qualcomm dans son avis. « Les correctifs pour les problèmes affectant le pilote Adreno Graphics Processing Unit (GPU) ont été mis à la disposition des OEM en mai. Et il est fortement recommandé de déployer la mise à jour sur les appareils concernés dès que possible. Veuillez contacter le fabricant de votre appareil pour plus d’informations sur l’état des correctifs concernant des appareils spécifiques. »
Qualcomm fabrique les processeurs, les chipsets, les modems et d’autres technologies qui équipent les smartphones, les ordinateurs portables et d’autres appareils grand public.
Corruption de mémoire
Cela signifie que l’application de correctifs à ses propres composants ne représente que la moitié du travail. Les fabricants d’appareils doivent également appliquer des correctifs à leurs produits. Un processus sur lequel les consommateurs n’ont que peu ou pas de contrôle.
Attribuant la découverte à des chercheurs du Google Threat Analysis Group, Qualcomm a cité les trois failles de sécurité sous leur numéro CVE. CVE-2025-21479, CVE-2025-21480 et CVE-2025-27038 sont toutes liées à un problème de corruption de la mémoire qui permet aux pirates d’exécuter des commandes non autorisées et malveillantes. Le troisième problème concerne la corruption de la mémoire lors du rendu des graphiques à l’aide des pilotes Adreno GPU dans Chrome.
Qualcomm reconnaît que ces trois failles ont déjà été exploitées, bien que de manière limitée. Les deux premières failles ont une note de gravité critique de 8,6 sur 10, tandis que la troisième a une note élevée de 7,5. Dans son bulletin, la société indique également les jeux de puces concernés par chaque vulnérabilité. Comme les fabricants d’appareils Android, en particulier, sont notoirement lents à mettre à jour leurs produits, nous ne sommes pas encore sortis de l’auberge.