Google выпустил августовское обновление безопасности Android за 2025 год для Android 13, Android 14, Android 15 и Android 16, устраняющее шесть уязвимостей, включая две критические проблемы в компонентах Qualcomm, которые уже использовались в целевых атаках.
Речь идет об уязвимостях CVE-2025-21479 и CVE-2025-27038, обнаруженных в конце января командой безопасности Android.
Первая уязвимость связана с некорректной авторизацией в графическом фреймворке, что может привести к повреждению памяти при выполнении определенной последовательности команд в GPU. Вторая проблема связана с использованием данных после освобождения памяти в драйверах Adreno GPU, которая вызывает повреждение памяти при рендеринге графики в Chrome.
Google включила июньские патчи от Qualcomm после того, как аналитики Google Threat Analysis Group сообщили о том, что уязвимости используются в целевых атаках.
Qualcomm информирует:
Обновления для драйвера графического процессора Adreno были переданы производителям устройств еще в мае, с настоятельной рекомендацией немедленно установить их на уязвимые модели.
Агентство кибербезопасности США (CISA) добавило эти уязвимости в свой каталог эксплуатируемых проблем 3 июня 2025 года и обязало федеральные учреждения устранить их до 24 июня.
Кроме того, в августовском обновлении Android исправлена критическая уязвимость в системном компоненте, которую злоумышленник без прав доступа может использовать для удаленного выполнения кода, комбинируя ее с другими уязвимостями, даже без пользовательского взаимодействия.
Google выпустила два уровня обновлений: 2025-08-01 и 2025-08-05 . Последний уровень обновлений включает все исправления из первого, а также дополнительные патчи для закрытых компонентов ядра и сторонних производителей — они подходят не для всех устройств.
Устройства Google Pixel получают обновления сразу, но другие производители могут немного их задержать, тестируя и адаптируя патчи под свои устройства.
Напомним, в марте Google устранила две уязвимости нулевого дня, которые использовались сербскими властями для взлома конфискованных Android-устройств. А в ноябре прошлого года была устранена еще одна уязвимость CVE-2024-43047, задействованная в шпионском ПО NoviSpy, о которой сообщила команда Project Zero.
Угрозы безопасности
• Инструмент EDR-Freeze позволяет отключать антивирусы через систему отчетов Windows
• Проверенная игра в Steam украла пожертвования у стримера, собиравшего средства на лечение
• Google исправил шестую по счету активно эксплуатируемую уязвимость «нулевого дня» в Chrome в этом году
• В Google Play были удалены 224 вредоносных приложения для Android из-за рекламного мошенничества
• Яндекс помог устранить уязвимость в движке V8 для браузеров на Chromium
• Apple выпустила исправления уязвимости «нулевого дня» для старых iPhone и iPad