高通发布安全补丁 修复Adreno GPU驱动三个零日漏洞

近日，高通公司针对其Adreno图形处理单元（GPU）驱动程序发布了一系列重要的安全补丁，以修复三个重大的零日漏洞。这些发现的漏洞编号为CVE-2025-21479、CVE-2025-21480和CVE-2025-27038，影响范围涵盖了数十种高通芯片，尤其是在现代智能手机、平板电脑和其他设备中应用广泛。

根据科技媒体bleepingcomputer的报道，这三个漏洞并不只是理论上的安全隐患。谷歌威胁分析小组（Google Threat Analysis Group）已经确认，黑客利用这些漏洞的证据已经浮出水面，表明攻击者可能试图通过这些漏洞对设备发起攻击。安全研究人员的警示提醒了全球范围内的高通设备用户，及时更新设备系统以确保安全的重要性。

具体而言，CVE-2025-21479和CVE-2025-21480这两个漏洞涉及图形框架的授权错误。这种授权错误可能导致未授权命令的执行，给攻击者提供了可能操控设备的机会。若利用这些漏洞，攻击者可以实现对显存的破坏性操作，进而影响设备的运行稳定性甚至造成数据丢失。更为严重的是，CVE-2025-27038被归类为use-after-free漏洞，存在于使用Adreno GPU驱动进行图形渲染时。这意味着攻击者可以在程序意外释放某一内存区后，继续利用该内存中的内容，导致更深层次的显存损坏。

高通公司在其周一发布的公告中对此进行了警告，表明此类漏洞的严重性以及潜在的威胁。该公司呼吁所有原始设备制造商（OEMs）迅速部署这些补丁，并更新所有受影响的设备，以最大限度降低安全风险。早在5月份，高通就已将相关的安全补丁推送给OEM，以防用户设备受到攻击。

除了针对Adreno GPU驱动的漏洞修复，高通在本月还发现了在数据网络堆栈与连接（Data Network Stack & Connectivity）中存在的一个缓冲区越界读取漏洞（CVE-2024-53026）。未经身份验证的攻击者可以利用该漏洞，通过向目标设备发送无效的实时传输控制协议（RTCP）数据包，访问本应受到限制的信息。这种攻击可能在VoLTE（语音通过LTE）或VoWiFi（语音通过WiFi）IMS（IP多媒体子系统）通话期间进行，进一步加剧了信息泄漏的风险。

这些漏洞的曝光与修复引发了广泛的关注，尤其是在当前网络安全形势日益严峻的背景下。随着数字设备逐渐普及及互联网连接的加速增加，预计黑客攻击行为也将愈加频繁，普通用户的设备安全面临着前所未有的挑战。因此，用户除了依赖厂商的安全补丁外，也应增强自身的网络安全意识，及时更新各类软件，谨慎处理可疑链接和应用，以降低潜在的风险。

高通的这次安全更新不是偶然，而是反映出在技术飞速发展的今天，安全问题显得愈加重要。厂商们必须持续关注潜在的安全隐患，并积极采取措施进行修复，以保护用户的隐私与数据安全。用户也应当成为自己网络安全的第一道防线，保持警惕，切勿掉以轻心。整个社会的安全生态链需要共同的努力，才能最终实现真正的安全。

高通此次针对Adreno GPU驱动程序发布的安全补丁，正是技术发展与安全需求矛盾的一个缩影。尤其是在后疫情时代，设备互联程度加深，网络攻击数层出不穷，厂商与用户均需不断强化自身的安全防护措施，共同营造一个更为安全、可靠的网络环境。