200/68 (IT) ประจำวันพุธที่ 4 มิถุนายน 2568
Qualcomm ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ Zero-Day จำนวน 3 รายการที่ตรวจพบว่ามีการนำไปใช้โจมตี โดยช่องโหว่ทั้งสามถูกแจ้งโดยทีม Google Android Security ภายใต้หมายเลข CVE-2025-21479, CVE-2025-21480 และ CVE-2025-27038 ซึ่งทาง Qualcomm ได้ส่งแพตช์ให้ผู้ผลิตอุปกรณ์ (OEM) ตั้งแต่เดือนพฤษภาคม พร้อมแนะนำให้อัปเดตโดยเร็วที่สุด
รายละเอียดของช่องโหว่ทั้ง 3 รายการ ได้แก่
– CVE-2025-21479 (CVSS 8.6): เป็นช่องโหว่ Incorrect Authorization ในส่วนของ Graphics ที่เกิดจากการเรียกคำสั่งที่ไม่ได้รับอนุญาตใน GPU micronode ทำให้เกิด memory corruption
– CVE-2025-21480 (CVSS 8.6): ช่องโหว่แบบเดียวกันใน Graphics Windows ซึ่งสามารถถูกใช้เพื่อสั่งการ GPU โดยไม่ได้รับสิทธิ์
– CVE-2025-27038 (CVSS 7.5): ช่องโหว่ use-after-free ในไดรเวอร์ของ Adreno GPU ซึ่งอาจถูกโจมตีผ่าน Chrome ขณะเรนเดอร์กราฟิก ทำให้เกิด memory corruption ได้
แม้ยังไม่มีข้อมูลเชิงลึกเกี่ยวกับกลุ่มผู้โจมตี แต่ Google Threat Analysis Group ยืนยันว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในลักษณะเจาะจง (targeted exploitation) โดยเหตุการณ์นี้มีความเชื่อมโยงกับช่องโหว่ CVE-2024-43047 ที่ถูกเพิ่มไว้ในรายการ Known Exploited Vulnerabilities (KEV) ของ CISA ตั้งแต่เดือนตุลาคม 2024 ช่องโหว่นี้เป็นช่องโหว่ use-after-free ที่อยู่ในบริการ Digital Signal Processor (DSP) ที่ได้ยืนยันกิจกรรมการโจมตีที่เกิดขึ้นจริงอีกด้วย และส่งผลกระทบต่อชิปหลายรุ่น โดยนักวิจัยจาก Google Project Zero และ Amnesty International Security Lab แนะนำให้ผู้ใช้ Android รีบอัปเดตแพตช์เพื่อป้องกันความเสี่ยงจากการถูกโจมตี
