O Google lançou patches de segurança para seis vulnerabilidades na atualização de segurança de agosto de 2025 do Android, incluindo duas falhas da Qualcomm exploradas em ataques direcionados.
Os dois bugs de segurança, rastreados como CVE-2025-21479 e CVE-2025-27038, foram relatados pela equipe de segurança do Google Android no final de janeiro de 2025.
A primeira é uma falha de autorização incorreta da estrutura gráfica que pode levar à corrupção de memória devido à execução não autorizada de comandos no micronó da GPU durante a execução de uma sequência específica de comandos. CVE-2025-27038, por outro lado, é uma vulnerabilidade de uso após liberação que causa corrupção de memória ao renderizar gráficos usando drivers de GPU Adreno no Chrome.
O Google agora integrou os patches anunciado pela Qualcomm em junho, quando a gigante da tecnologia sem fio alertou que “Há indicações do Google Threat Analysis Group de que CVE-2025-21479, CVE-2025-21480, CVE-2025-27038 podem estar sob exploração limitada e direcionada”.
“Patches para os problemas que afetam o driver da Unidade de Processamento Gráfico (GPU) Adreno foram disponibilizados aos OEMs em maio, juntamente com uma forte recomendação para implantar a atualização nos dispositivos afetados o mais rápido possível”, disse a Qualcomm.
CISA também adicionou os dois bugs de segurança para seu catálogo de vulnerabilidades exploradas ativamente em 3 de junho, ordenando que as agências federais protejam seus dispositivos contra ataques contínuos até 24 de junho.
Com as atualizações de segurança do Android deste mês, o Google também corrigiu uma vulnerabilidade crítica de segurança no componente Sistema que invasores sem privilégios podem explorar para obter execução remota de código quando encadeados com outras falhas em ataques que não exigem interação do usuário.
O Google lançou dois conjuntos de patches de segurança: o 2025-08-01 e 2025-08-05 níveis de patch de segurança. Este último agrupa todas as correções do primeiro lote e patches para terceiros de código fechado e subcomponentes do kernel, que podem não se aplicar a todos os dispositivos Android.
Embora os dispositivos Google Pixel recebam atualizações de segurança imediatamente, outros fornecedores geralmente levam mais tempo para testá-las e ajustá-las para suas configurações de hardware específicas.
Em março, o Google também corrigiu duas vulnerabilidades de dia zero explorado em ataques direcionados pelas autoridades sérvias para desbloquear dispositivos Android confiscados.
Em novembro passado, a empresa abordou um segundo dia zero do Android (CVE-2024-43047) usado pelo Governo sérvio em ataques de spyware NoviSpy, que foi marcado pela primeira vez como explorado pelo Google Project Zero em outubro.
