کوالکامگوگل به‌روزرسانی‌های امنیتی را برای رفع چندین نقص امنیتی در اندروید منتشر کرده است[۱]، ازجمله رفع اشکال برای دو اشکال کوالکام که به‌عنوان آسیب‌پذیری‌های فعال در سطح اینترنت شناسایی شده بودند.

این آسیب‌پذیری‌ها شامل CVE-2025-21479 (امتیاز  ۸٫۶ در CVSS) و CVE-2025-27038 (امتیاز ۷٫۵ در CVSS) هستند که هر دو در کنار CVE-2025-21480 (امتیاز ۸٫۶ در CVSS) توسط این سازنده تراشه در ژوئن ۲۰۲۵ افشا شدند[۲].

CVE-2025-21479 مربوط به یک آسیب‌پذیری مجوزدهی نادرست در مؤلفه گرافیک است که می‌تواند منجر به تخریب حافظه به دلیل اجرای غیرمجاز دستور در میکروکد GPU شود.

از سوی دیگر، CVE-2025-27038، آسیب‌پذیری استفاده پس از آزادسازی در مؤلفه گرافیک است که می‌تواند منجر به تخریب حافظه هنگام رندر گرافیک با استفاده از درایورهای Adreno GPU در کروم شود.

هنوز جزئیاتی در مورد چگونگی استفاده از این کاستی‌ها در حملات دنیای واقعی وجود ندارد، اما کوالکام در آن زمان خاطرنشان کرد که «نشانه‌هایی از گروه تحلیل تهدید گوگل وجود دارد که نشان می‌دهد CVE-2025-21479، CVE-2025-21480، CVE-2025-27038 ممکن است تحت بهره‌برداری محدود و هدفمند قرار گرفته باشند.»

با توجه به اینکه نقص‌های مشابه در چیپست‌های کوالکام در گذشته توسط فروشندگان جاسوس‌افزار تجاری مانند Variston و Cy4Gate مورد بهره‌برداری قرار گرفته‌اند، گمان می‌رود که کاستی‌های فوق‌الذکر نیز در زمینه‌ای مشابه مورد سوءاستفاده قرار گرفته‌اند.

این سه آسیب‌پذیری از آن زمان به فهرست آسیب‌پذیری‌های شناخته‌شده‌ی مورد سوءاستفاده ([۳]KEV) آژانس امنیت سایبری و زیرساخت ایالات‌متحده (CISA) اضافه شده‌اند[۴] و سازمان‌های فدرال را ملزم می‌کنند که به‌روزرسانی‌ها را تا ۲۴ ژوئن ۲۰۲۵ اعمال کنند.

وصله اوت ۲۰۲۵ گوگل همچنین دو نقص افزایش امتیاز با شدت بالا در چارچوب اندروید (CVE-2025-22441 و CVE-2025-48533) و یک اشکال بحرانی در مؤلفه سیستم (CVE-2025-48530) را برطرف می‌کند که می‌تواند منجر به اجرای کد از راه دور در صورت ترکیب با سایر نقص‌ها بدون نیاز به هیچ امتیاز اضافی یا تعامل با کاربر شود.

این غول فناوری دو سطح وصله، ۲۰۲۵-۰۸-۰۱ و ۲۰۲۵-۰۸-۰۵ را در دسترس قرار داده است که دومی شامل اصلاحاتی برای مؤلفه‌های متن‌باز و شخص ثالث از Arm و Qualcomm نیز می‌شود. به کاربران دستگاه‌های اندروید توصیه می‌شود که به‌روزرسانی‌ها را به‌محض انتشار اعمال کنند تا در برابر تهدیدات احتمالی محافظت شوند.

منابع

[۱] https://source.android.com/docs/security/bulletin/2025-08-01

[۲] https://thehackernews.com/2025/06/qualcomm-fixes-3-zero-days-used-in.html

[۳] https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=qualcomm&field_date_added_wrapper=all&field_cve=&sort_by=field_date_added&items_per_page=20&url=

[۴] https://www.cisa.gov/news-events/alerts/2025/06/03/cisa-adds-three-known-exploited-vulnerabilities-catalog

[۵] https://thehackernews.com/2025/08/google-fixes-3-android-vulnerabilities.html