美国芯片制造商高通公司已发布了大量的安全补丁,以解决其芯片和开源软件中的漏洞。这一举动至关重要,因为全球许多Android智能手机都利用高通芯片,使其成为潜在网络攻击的主要目标。但是,将这些补丁及时交付给最终用户仍然是关键因素。
在2025年6月的安全报告中,高通公司详细介绍了18个补丁,以解决各种漏洞。其中,三个特别令人担忧,因为据信它们在有针对性的黑客攻击中被积极利用。这些特定的漏洞被归类为零日的利用,这意味着攻击者在开发人员有可用的补丁之前利用这些缺陷。
根据Google的威胁分析小组(TAG),这三个零日漏洞都影响了高通芯片中发现的Adreno图形处理器(GPU)。这些GPU被整合到来自三星,小米和OnePlus等制造商的各种全球使用的智能手机中。
影响Adreno GPU微模型的两个漏洞源于错误的授权,这可能导致内存腐败。这些被认为是非常危险的,其CVSS得分为8.6。第三个漏洞被描述为GPU内存中的“自由后使用”错误。当不再需要内存后无法正确清除内存,可能会导致崩溃,或者在报告的实例中,使用chrome浏览器中的Adreno GPU驱动程序呈现图形时,就会发生这种错误。
高通公司早在5月就为所有受影响的制造商提供了这三个关键的零日脆弱性的补丁。尽管如此,在智能手机制造商将这些补丁集成到自己的设备软件更新中,然后将其释放到用户之前,可能会延迟。高通公司的报告明确敦促制造商“尽快更新受影响的设备”。建议用户与他们的智能手机制造商联系,以查询其特定设备的补丁状态。
在设备制造商管理基于Android的操作系统时,他们通常无法直接控制安装芯片的固件。他们依靠像高通公司这样的芯片制造商首先提供必要的安全补丁。只有在收到这些补丁后,智能手机制造商才能开发并向其设备提供相应的更新。这种对芯片制造商的初始补丁的依赖性可以创建一个脆弱性的窗口,从而使Android智能手机成为黑客的吸引人目标。一个值得注意的例子发生在2021年,当时高通调制解调器中的安全缺陷影响了数亿个设备,并且花了几周到几个月的时间才能向大多数受影响的智能手机进行必要的更新。
Source: Qualcomm修复积极利用Adreno GPU缺陷
