Google представила первое обновление безопасности Android в 2026 году, которое содержит лишь одно, но чрезвычайно важное исправление. Патч устраняет критическую уязвимость в аудиодекодере Dolby Digital Plus Unified Decoder (CVE-2025-54957), позволяющую злоумышленникам получить контроль над устройством без взаимодействия с пользователем. Атака могла осуществляться через отправку SMS или RCS-сообщений, благодаря чему эксплуатация происходила в формате zero-click.
Об этом сообщает ProIT
Детали и опасность уязвимости Dolby Digital Plus
Уязвимость была обнаружена экспертами Google в июне 2025 года. Она касается компонента Dolby, который широко используется на многих Android-устройствах. Изначально дефект оценивался как имеющий средний уровень угрозы, так как был связан с ошибкой записи за пределами буфера. Однако дальнейший анализ показал: на Android эта ошибка может приводить к удаленному выполнению кода, поскольку аудиосообщения и вложения автоматически декодируются после получения пользователем.
«Патч устраняет уязвимость в аудиодекодере Dolby Digital Plus Unified Decoder (CVE-2025-54957), которая позволяет атаковать смартфон без каких-либо действий пользователя через отправку SMS или RCS-сообщения».
Пострадавшие платформы и доступность обновления
Уязвимость была протестирована на различных устройствах и платформах, включая смартфоны Pixel, Samsung, а также компьютеры с macOS и Windows. Наиболее серьезные последствия наблюдались именно на устройствах под управлением Android. Исправление для линейки Pixel уже было включено в декабрьское обновление 2025 года, а теперь патч доступен для всей экосистемы Android.
Январское обновление сосредоточено исключительно на устранении этой критической уязвимости и не содержит других исправлений безопасности.