Google выпустил обновления безопасности для Android, закрыв кучу дыр, включая две уязвимости в чипах Qualcomm, которые уже активно юзаются «в полях».
🔹 CVE-2025-21479 (CVSS 8.6) — ошибка авторизации в графическом компоненте. Позволяет исполнять несанкционированные команды в микрокоде GPU. Результат: память повреждена, админ в панике.
🔹 CVE-2025-27038 (CVSS 7.5) — use-after-free в том же графическом компоненте. Достаточно просто рендерить графику через драйверы Adreno в Chrome, и всё падает как карточный домик.
Вместе с ними Qualcomm ещё в июне показал CVE-2025-21480 (CVSS 8.6), но Google подтвердил: «Да, ребята, эксплойты уже бегают по дикому интернету».
Кто мог быть за этим? Исторически подобные дырки любят коммерческие шпионо-продавцы вроде Variston и Cy4Gate. Так что если ваш телефон внезапно начал «думать» медленнее — возможно, он теперь думает не только за вас.
Все три бага уже попали в каталог CISA Known Exploited Vulnerabilities — федеральным ведомствам США приказано пропатчить железо до 24 июня 2025 (да, у них дедлайн уже прошёл, а у вас?).
Помимо Qualcomm-кошмара, патч августа закрыл:
-
две высокосерьёзные уязвимости повышения привилегий в Android Framework (CVE-2025-22441 и CVE-2025-48533);
-
критический баг в System (CVE-2025-48530), который при комбинации с другими дырами позволяет удалённо запускать код без прав и без «разрешите доступ» от пользователя.
Google выкатил два уровня патча: 2025-08-01 и 2025-08-05 (второй включает правки для закрытых и сторонних компонентов от Arm и Qualcomm).
Ну и если не хотите, чтобы ваш смартфон стал бесплатным хостингом для чужого кода — обновляйтесь немедленно. Потому что пока вы думаете «попозже», кто-то уже рисует на вашем GPU свой майнкрафт.
Берегите себя и свои нервы.
📘 Понравилась статья?
Больше практики и реальных заданий — в Kraken Academy.
А чтобы точно ничего не пропустить — подпишись на наш Telegram-канал.
Рекомендуемые статьи
