В Android закрыли уязвимость, позволявшую захватить контроль над смартфоном

[Grafff]

В Android закрыли уязвимость, позволявшую захватить контроль над смартфоном через Bluetooth или Wi-Fi

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google выпустила сентябрьское обновление безопасности для Android, которое устраняет 84 уязвимости в компонентах операционной системы и 27 — в продуктах Qualcomm, включая две критические бреши, уже использовавшиеся злоумышленниками в реальных атаках. Обновление затрагивает устройства под управлением Android 13 и новее, сообщает BleepingComputer.

Две активно эксплуатируемые уязвимости нулевого дня получили идентификаторы CVE-2025-38352 и CVE-2025-48543. Первая представляет собой ошибку повышения привилегий в ядре Android, вызванную условием гонки в POSIX CPU-таймерах, и может привести к сбоям, отказу в обслуживании и эскалации привилегий. Вторая обнаружена в компоненте Android Runtime и позволяет вредоносному приложению обойти «песочницу» (Sandbox — изолированная среда для каждого приложения) и получить доступ к системным возможностям более высокого уровня. В своём бюллетене Google отметила, что имеются признаки ограниченного целевого использования этих уязвимостей, однако дополнительных деталей не раскрыла.

Помимо этого, обновление исправляет четыре уязвимости критического уровня опасности. Одна из них, CVE-2025-48539, позволяет атакующему в зоне действия сети Wi-Fi или Bluetooth выполнить произвольный код на устройстве без какого-либо взаимодействия с пользователем. Остальные три уязвимости (CVE-2025-21450, CVE-2025-21483 и CVE-2025-27034) затрагивают проприетарные компоненты Qualcomm. Согласно данным Qualcomm, CVE-2025-21483 является уязвимостью повреждения памяти в стеке передачи данных, возникающей при повторной сборке видеопотока (NALU) из RTP-пакетов. CVE-2025-27034 представляет собой ошибку проверки индекса массива в процессоре многорежимных вызовов при выборе PLMN из списка неудачных ответов SOR и может привести к повреждению памяти и выполнению кода на уровне модема устройства.

Для установки обновления необходимо перейти в раздел «Настройки» → «Система» → «Обновление ПО» и проверить его наличие. Пользователям устройств на Android 12 и более старых версиях компания рекомендует перейти на более новую поддерживаемую модель или использовать стороннюю прошивку с актуальными патчами безопасности. Общее количество устранённых уязвимостей, включая исправления для 27 компонентов Qualcomm, составляет 111. Для устройств на чипах MediaTek актуальная информация о безопасности доступна в отдельном бюллетене производителя.

Компания Samsung также выпустила собственное сентябрьское обновление для флагманских устройств, включающее исправления для фирменных компонентов, таких как One UI.

Источник: BleepingComputer