Google представила перше оновлення безпеки Android у 2026 році, яке містить лише одне, але надзвичайно важливе виправлення. Патч усуває критичну вразливість у аудіодекодері Dolby Digital Plus Unified Decoder (CVE-2025-54957), що дозволяла зловмисникам отримати контроль над пристроєм без взаємодії з користувачем. Атака могла здійснюватися через надсилання SMS або RCS-повідомлень, завдяки чому експлуатація відбувалася у форматі zero-click.
Про це розповідає ProIT
Деталі та небезпека уразливості Dolby Digital Plus
Уразливість була виявлена експертами Google у червні 2025 року. Вона стосується компонента Dolby, який широко використовується у багатьох Android-пристроях. Спочатку дефект оцінювали як такий, що має середній рівень загрози, оскільки був пов’язаний із помилкою запису за межі буфера. Проте подальший аналіз показав: на Android ця помилка може призводити до віддаленого виконання коду, адже аудіоповідомлення й вкладення автоматично декодуються після отримання користувачем.
“Патч усуває уразливість у аудіодекодері Dolby Digital Plus Unified Decoder (CVE-2025-54957), яка дозволяє атакувати смартфон без будь-яких дій користувача через надсилання SMS або RCS-повідомлення”.
Платформи, що постраждали, і доступність оновлення
Уразливість була протестована на різноманітних пристроях і платформах, включаючи смартфони Pixel, Samsung, а також комп’ютери з macOS та Windows. Найбільш серйозні наслідки спостерігалися саме на пристроях під управлінням Android. Виправлення для лінійки Pixel вже було включено до грудневого оновлення 2025 року, а відтепер патч доступний для всієї екосистеми Android.
Січневе оновлення сфокусоване виключно на усуненні цієї критичної вразливості і не містить інших виправлень безпеки.