Google выпустил августовское обновление безопасности Android за 2025 год для Android 13, Android 14, Android 15 и Android 16, устраняющее шесть уязвимостей, включая две критические проблемы в компонентах Qualcomm, которые уже использовались в целевых атаках.
Речь идет об уязвимостях CVE-2025-21479 и CVE-2025-27038, обнаруженных в конце января командой безопасности Android.
Первая уязвимость связана с некорректной авторизацией в графическом фреймворке, что может привести к повреждению памяти при выполнении определенной последовательности команд в GPU. Вторая проблема связана с использованием данных после освобождения памяти в драйверах Adreno GPU, которая вызывает повреждение памяти при рендеринге графики в Chrome.
Google включила июньские патчи от Qualcomm после того, как аналитики Google Threat Analysis Group сообщили о том, что уязвимости используются в целевых атаках.
Qualcomm информирует:
Обновления для драйвера графического процессора Adreno были переданы производителям устройств еще в мае, с настоятельной рекомендацией немедленно установить их на уязвимые модели.
Агентство кибербезопасности США (CISA) добавило эти уязвимости в свой каталог эксплуатируемых проблем 3 июня 2025 года и обязало федеральные учреждения устранить их до 24 июня.
Кроме того, в августовском обновлении Android исправлена критическая уязвимость в системном компоненте, которую злоумышленник без прав доступа может использовать для удаленного выполнения кода, комбинируя ее с другими уязвимостями, даже без пользовательского взаимодействия.
Google выпустила два уровня обновлений: 2025-08-01 и 2025-08-05 . Последний уровень обновлений включает все исправления из первого, а также дополнительные патчи для закрытых компонентов ядра и сторонних производителей — они подходят не для всех устройств.
Устройства Google Pixel получают обновления сразу, но другие производители могут немного их задержать, тестируя и адаптируя патчи под свои устройства.
Напомним, в марте Google устранила две уязвимости нулевого дня, которые использовались сербскими властями для взлома конфискованных Android-устройств. А в ноябре прошлого года была устранена еще одна уязвимость CVE-2024-43047, задействованная в шпионском ПО NoviSpy, о которой сообщила команда Project Zero.
Угрозы безопасности
• На миллионах ПК Dell обнаружена уязвимость — обновитесь как можно скорее
• ОС Android получила патчи против эксплуатируемых уязвимостей Qualcomm
• Apple устранила уязвимость, использовавшуюся в атаках на пользователей Chrome
• Google индексирует чаты ChatGPT, которыми вы поделились: Конфиденциальные данные могут оказаться в открытом доступе
• Microsoft: Уязвимость Sploitlight в macOS раскрывает данные Apple Intelligence
• Мошенники используют мессенджер Max для кражи аккаунтов на Госуслугах: как работает схема и как защититься