Google telah merilis pembaruan keamanan Android edisi Agustus 2025 yang mencakup perbaikan untuk enam kerentanan, termasuk dua celah keamanan serius di komponen Qualcomm yang sebelumnya diketahui telah dieksploitasi dalam serangan tertarget.
Dua celah keamanan utama yang diperbaiki terdaftar sebagai CVE-2025-21479 dan CVE-2025-27038 dilaporkan ke tim Keamanan Android Google pada akhir Januari 2025.
CVE-2025-21479 merupakan kelemahan otorisasi dalam kerangka grafis yang dapat menyebabkan kerusakan memori akibat eksekusi perintah yang tidak sah di mikronode GPU saat menjalankan urutan tertentu. Sementara itu, CVE-2025-27038 adalah kerentanan "use-after-free" yang berdampak pada driver GPU Adreno di Chrome, memungkinkan kerusakan memori saat merender grafis.
Google telah mengintegrasikan patch yang diumumkan Qualcomm sejak Juni. Saat itu, Qualcomm memperingatkan bahwa celah-celah tersebut termasuk CVE-2025-21479, CVE-2025-21480, dan CVE-2025-27038 telah dieksploitasi secara terbatas dan tertarget, berdasarkan temuan Google Threat Analysis Group.
"Patch untuk masalah yang mempengaruhi driver Graphics Processing Unit (GPU) Adreno telah tersedia bagi OEM pada bulan Mei bersama dengan rekomendasi kuat untuk menerapkan pembaruan pada perangkat yang terdampak sesegera mungkin," kata Qualcomm.
Sebagai respons terhadap ancaman aktif ini, CISA (Cybersecurity and Infrastructure Security Agency) menambahkan dua dari kerentanan tersebut ke dalam katalog resmi eksploitasi aktif pada 3 Juni, serta mewajibkan lembaga federal AS untuk mengamankan perangkat mereka dari serangan yang sedang berlangsung pada tanggal 24 Juni.
Selain memperbaiki kerentanan Qualcomm, pembaruan Agustus ini juga mengatasi celah kritis dalam komponen sistem Android yang dapat dimanfaatkan penyerang tanpa hak akses khusus untuk mengeksekusi kode dari jarak jauh—terutama jika dikombinasikan dengan kelemahan lain, bahkan tanpa interaksi dari pengguna.
Google telah menerbitkan dua set patch keamanan: level patch keamanan 2025-08-01 dan 2025-08-05. Patch keamanan 2025-08-05 menggabungkan semua perbaikan dari batch pertama dan patch untuk subkomponen kernel dan pihak ketiga sumber tertutup, yang mungkin tidak berlaku untuk semua perangkat Android.
Seperti biasa, perangkat Pixel milik Google menerima patch ini lebih awal, sementara produsen perangkat Android lain mungkin membutuhkan waktu tambahan untuk menguji dan menyesuaikannya dengan konfigurasi hardware masing-masing.
Sebagai catatan, Google juga telah aktif menangani eksploitasi zero-day lainnya. Pada Maret lalu, dua celah zero-day ditambal setelah diketahui digunakan oleh otoritas Serbia untuk membuka perangkat Android yang disita. Sementara itu, pada November 2024, Google menambal CVE-2024-43047, zero-day yang dimanfaatkan dalam serangan spyware NoviSpy, juga terkait dengan aktivitas pemerintah Serbia dan pertama kali ditandai sebagai dieksploitasi oleh Google Project Zero pada bulan Oktober.