Google випустила оновлення безпеки для пристроїв Android за вересень 2025 року, яке усуває загалом 84 вразливості, включно з двома активно експлуатованими недоліками. Йдеться про уразливості нульового дня CVE-2025-38352, що призводить до підвищення привілеїв у ядрі Android, та CVE-2025-48543, яка також дозволяє отримати підвищені привілеї, але вже у компоненті Android Runtime.
У своєму бюлетені Google зазначила, що є ознаки обмеженого та цілеспрямованого використання цих недоліків, однак додаткових деталей компанія не розкрила. Уразливість CVE-2025-38352 стосується ядра Linux. Вона була вперше виявлена 22 липня 2025 року та виправлена у версіях ядра 6.12.35-1 і новіших.
Раніше цей недолік не позначався як активно використовуваний. Проблема полягає в умові гонки у таймерах процесора POSIX, що призводить до переривання очищення завдань і дестабілізації ядра. Це може викликати збої, відмову в обслуговуванні або підвищення привілеїв.
Уразливість CVE-2025-48543 впливає на Android Runtime — середовище, де виконуються програми Java/Kotlin та системні служби. Вона може дозволити шкідливим програмам обходити обмеження пісочниці та отримувати доступ до розширених системних можливостей.
Окрім двох активно експлуатованих недоліків, вересневе оновлення Android також виправляє чотири проблеми критичного рівня. Перша з них — CVE-2025-48539, уразливість віддаленого виконання коду (RCE) у системному компоненті Android. Вона дозволяє зловмиснику, що перебуває у зоні дії Bluetooth чи Wi-Fi, виконати довільний код на пристрої без взаємодії з користувачем і без привілеїв.
Ще три критичні уразливості — CVE-2025-21450, CVE-2025-21483 та CVE-2025-27034 — зачіпають компоненти Qualcomm. Зокрема, CVE-2025-21483 пов’язана з пошкодженням пам’яті в стеку мережі передачі даних під час повторного збирання відео (NALU) з RTP-пакетів. Зловмисник може надсилати спеціально сформований трафік, що призведе до виходу за межі дозволених записів у пам’яті та віддаленого виконання коду.
CVE-2025-27034 стосується перевірки індексу масиву у процесорі багаторежимних викликів під час вибору PLMN зі списку невдалих SOR. Неправильно сформовані мережеві відповіді можуть пошкодити пам’ять і надати можливість виконання коду в базовій смузі модема.
Загалом цей патч для Android охоплює 27 уразливостей у компонентах Qualcomm, що підвищує загальну кількість виправлених недоліків до 111. Проте вони не стосуються пристроїв на базі чіпів інших виробників. Для смартфонів із процесорами MediaTek детальна інформація доступна у відповідному бюлетені компанії.
Оновлення безпеки Android за вересень 2025 року охоплює вразливості, що впливають на версії системи від Android 13 до Android 16, хоча не всі з них стосуються кожної версії.
