Albisteak

Android-en segurtasuna eguneratzea - 2025eko abendua

Argitalpen-data: 

Laburpen exekutiboa

Googlek hilabete honi dagokion Android segurtasun-buletina argitaratu du, bertan 107 ahultasun identifikatu eta zuzendu dira. Horietatik, 1 kritikoa da (CVSS ≥ 9.0) eta 26 larritasun handikoak dira (CVSS 7.5-8.9), horrek eguneraketak berehala aplikatzearen garrantzia azpimarratzen du. Gainera, ondorengo ahultasunak ustiapen mugatu eta zuzenduan egon daitezkeela adierazten duten zantzuak daude: CVE-2025-48633, CVE-2025-48572. Seinale horiek eguneratu gabeko gailuentzako arrisku potentziala iradokitzen dute; beraz, gomendatzen da adabakiak lehenestea eta eragindako sistemetan monitorizazioa indartzea.

Eragindako baliabideak

  • Framework
  • Media Framework
  • Sistema
  • Google Play sistemaren eguneraketak
  • Kernel
  • Qualcomm osagaiak

Azterketa teknikoa

Ahultasun kritikoak

  • CVE-2025-6573: Kernel software bat, ez fidagarri/aberats exekuzio ingurunean (REE) instalatuta eta martxan, fidagarri exekuzio ingurunean (TEE) informazioa isuri dezake.
    • CWE-280
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua

Nabarmendutako ahultasun larriak

  • CVE-2025-27074: Memoria usteltzea GP aginduaren erantzuna prozesatzean. Laburpena: GP aginduaren erantzuna prozesatzean memoria usteltzea.
    • CWE-131
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua
  • CVE-2025-38500: Linux kernel-ean xfrm interfazean collect_md propietatearen erabilera konpondu da, xfrmi_changelink() funtzioa okerreko egoeretan ezartzen zela saihestuz. Horrela, bikoiztutako askatzeak ekiditen dira.
    • CWE-416
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua
  • CVE-2025-27053: PlayReady APP erabileran TA aginduak prozesatzerakoan memoria ustelkeria. Laburpena: PlayReady APP erabiltzean TA aginduak prozesatzean memoria ustelkeria gertatzen da.
    • CWE-131
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua
  • CVE-2025-47354: Memoria usteltzea buffer-ak esleitzen diren bitartean DSP zerbitzuan. Laburpena: DSP zerbitzuan buffer-ak esleitzen direnean memoria usteltzea gertatzen da.
    • CWE-416
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua
  • CVE-2025-27070: Memoria ustelkeria enkriptatze eta dekriptatze aginduak betetzean. Laburpena: Enkriptatze eta dekriptatze aginduen exekuzioan memoria ustelkeria.
    • CWE-787
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua
  • CVE-2025-27054: Memoriaren ustelkeria lizentzia fitxategi oker bat prozesatzean, berrabiaraztean. Laburpena: Lizentzia fitxategi oker baten prozesamenduan memoriaren ustelkeria gertatzen da berrabiaraztean.
    • CWE-787
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua
  • CVE-2023-40130: CallRedirectionProcessor.java-n onBindingDied funtzioan, logika-akats bat dela-eta baimenak saihesteko aukera dago. Honek pribilegioen lokaleko igotzea eta atzeko jarduera abiaraztea eragin dezake, erabiltzailearen interakziorik gabe.
    • NVD-CWE-noinfo
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua
  • CVE-2025-47351: Memoria ustelkeria erabiltzaile bufferren prozesatzean. Laburpena: Erabiltzaile bufferren prozesatzean memoria ustelkeria gertatzen da.
    • CWE-190
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua
  • CVE-2025-38349: Linux kernel-eko segurtasun ahultasun bat konpondu da: epoll-ek ep refcount-a murrizten zuen mutex-a askatu aurretik, erabilera-ondoren askatu daitekeelako. Konponketa: refcount-a mutex-etik kanpo murriztu.
    • CWE-416
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua
  • CVE-2025-11133: nr modem-en sarrera egokia ez den balorazioagatik sistema hondatzea posible da, urruneko zerbitzu ukatzea eraginez, exekuzio baimenik gabe.
    • NVD-CWE-noinfo
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Esplotazioa: Ez detektatua

Arintzea/Konponbidea

Android segurtasun eguneratzeak zure gailurako eskuragarri egon bezain laster aplikatzea gomendatzen da. Erabiltzaileek Ezarpenak > Sistema > Sistemaren eguneratzea atalean egiaztatu behar dute adabakien eskuragarritasuna.

Erreferentzia gehigarriak