CVE-2025-21479

Nome do Software Vulnerável e Versões Afetadas Chipsets Qualcomm (versões afetadas não especificadas) Meta Quest 3/3S versões da atualização de 7 de agosto de 2025 e anteriores Samsung S23 (versões afetadas não especificadas)

Descrição Existe uma falha no firmware da GPU Adreno da Qualcomm que permite a execução não autorizada de comandos no micronódeo da GPU. Isso pode levar à corrupção de memória quando uma sequência específica de comandos é processada. O problema está sendo ativamente explorado e foi utilizado para obter acesso root em dispositivos como o Meta Quest 3/3S e Samsung S23. A exploração envolve aproveitar a falha através de uma combinação de ataques à tabela de páginas para alcançar controle em nível de kernel. O microcódigo da GPU é compartilhado entre vários produtos, incluindo dispositivos IoT, telefones, laptops e potencialmente futuros sistemas automotivos. A vulnerabilidade foi corrigida na atualização de segurança do Android de agosto de 2025 e nas atualizações subsequentes do firmware do Meta Quest. Relata-se que a vulnerabilidade permite que o espaço do usuário (userspace) execute comandos privilegiados da GPU, possibilitando acesso de leitura/gravação ao kernel via tabelas de páginas falsas e comprometimento do dispositivo.

Recomendações Para dispositivos Meta Quest 3/3S, desative as atualizações e o atualizador do Oculus (com.oculus.updater) para impedir a aplicação de correções. Para dispositivos Samsung S23, aplique as atualizações de firmware mais recentes para corrigir a vulnerabilidade. Para todos os chipsets Qualcomm afetados, aplique a atualização de segurança do Android de agosto de 2025 ou posterior para mitigar o risco.