Компания Google выпустила первое в этом году обновление безопасности для Android, которое оказалось необычно кратким: патч устраняет всего одну уязвимость, но с критическим уровнем опасности. Речь идет об ошибке в аудиодекодере Dolby Digital Plus Unified Decoder, зарегистрированной под идентификатором CVE-2025-54957, которая потенциально позволяет атаковать смартфон без каких-либо действий со стороны владельца при помощи отправки SMS- или RCS-сообщения. Сообщение об этом появилась на сайте Google Project Zero.
Уязвимость была обнаружена специалистами Google Project Zero еще в июне 2025 года и затрагивает широко используемый компонент Dolby, присутствующий на большом числе устройств. Изначально проблему оценивали как дефект со средней степенью риска, связанный с записью за пределы буфера, однако дальнейший анализ показал, что в среде Android она может приводить к удаленному выполнению кода в формате zero-click. Это связано с тем, что голосовые сообщения и аудиовложения в системе декодируются автоматически сразу после получения.
Эксплойт был продемонстрирован на разных платформах и устройствах, включая смартфоны Pixel и Samsung, а также компьютеры под управлением macOS и Windows, однако именно на Android последствия оказались наиболее серьезными. Для линейки Pixel исправление было включено еще в декабрьское обновление 2025 года, а теперь патч стал доступен для всей экосистемы Android.
Примечательно, что январский апдейт не содержит других исправлений и целиком посвящен устранению этой одной, но критически опасной уязвимости.
Ранее выяснилось, что хакерская атака США обесточила Каракас во время захвата Мадуро.
