Albisteak

Android-en segurtasuna eguneratzea - 2025eko Ekaina

Argitalpen-data: 

Laburpen exekutiboa

Googlek 2025eko ekainari dagokion Android Segurtasun Buletina argitaratu du, eta bertan guztira 34 ahultasun bakar jorratzen dira. Eguneratzeek sistema eragileko osagai garrantzitsuetan dauden akatsak konpontzen dituzte, hala nola Framework, Media Framework, System eta Google Play sistemaren eguneratzeetan. Ahultasunik larrienak tokiko pribilegio-eskalada ahalbidetzen du baimen gehigarririk gabe, nahiz eta erabiltzailearen interakzioa behar duen. Egindako analisiaren arabera, ez da ahultasunik detektatu aktiboki ustiatzen ari denik. Googlek gomendatzen du gailuak eguneratuta mantentzea mehatxu horien aurrean babesa bermatzeko.

Eragindako baliabideak

  • Framework
  • Media Framework
  • Sistema
  • Google Play sistemaren eguneratzeak
  • Kernel
  • Qualcomm osagaiak

Azterketa teknikoa

  • CVE-2024-53019: Informazioa ager daiteke RTP paketea dekodeatzean, baliabideen kopurua baliogabea den arren.
    • CWE-126
    • CVSS: 8.2 (handia)
    • Eraso bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
    • Esplotazioa: Ez detektatua
  • CVE-2024-53020: Informazioa ager daiteke segurtasun arazo batzuk sortzen dira RTP paketea deskodetzen denean, sarea bidezko goiburuko luzapen baliogabea denean.
    • CWE-126
    • CVSS: 8.2 (handia)
    • Eraso bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
    • Esplotazioa: Ez detektatua
  • CVE-2024-53021: Informazioa jasotzen da, agur RTCP paketea prozesatzen denean sarean.
    • CWE-126
    • CVSS: 8.2 (handia)
    • Eraso bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
    • Esplotazioa: Ez detektatua
  • CVE-2024-53026: Informazioa agerian jartzea, VoLTE/VoWiFi IMS deitzailean RTCP pakete baliogabe bat jasotzean.
    • CWE-126
    • CVSS: 8.2 (handia)
    • Eraso bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
    • Esplotazioa: Ez detektatua
  • CVE-2025-21486: Memoria korruptzea dinamiko prozesu sortzaile deialdian, bezeroak bakarrik helbidea eta shell baliabidearen luzera pasatzen duenean.
    • CWE-822
    • CVSS: 7.8 (handia)
    • Eraso bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua
  • CVE-2025-0819: Arm Ltd Bifrost GPU Kernel Driver-en, Arm Ltd Valhall GPU Kernel Driver-en eta Arm Ltd Arm 5. geneko GPU Arkitektura Kernel Driver-en Use After Free segurtasun ahulkeria baten aurkako lehentasun gabeko erabiltzaile prozesu batek GPU memoria prozesaketak egiteko baimenak lortzeko aukera ematen du, dagoeneko askatu edukiko memoria iristeko. Arlo honi eragiten dio arazo honek: Bifrost GPU Kernel Driver: r44p0-tik r49p3-ra, r50p0-tik r51p0-ra; Valhall GPU Kernel Driver: r44p0-tik r49p3-ra, r50p0-tik r54p0-ra; Arm 5. geneko GPU Arkitektura Kernel Driver: r44p0-tik r49p3-ra, r50p0-tik r54p0-ra.
    • CWE-416
    • CVSS: 7.8 (handia)
    • Eraso bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua
  • CVE-2024-12837: Software instalatua eta erabiltzaile ez-ohore batek exekutatua, errore GPU sistema egiteko deiturak erabili ditzake, kernel-heapeko memoria hutsa hondatzeko.
    • CWE-416
    • CVSS: 7.8 (handia)
    • Eraso bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua
  • CVE-2025-0478: Instalatutako eta erabiltzen den softwarea ez-ohikoa den erabiltzaile gisa, GPU sistema deitzaile okerrak egin ditzake memoria fisiko arbiragarri orriak irakurtzeko eta idazteko. Baldintza zehatz batzuetan, erabiltzaile hau erabili ahal izango da datu-orriak korruptzeko, GPU gidaria baina plataforma horretan exekutatzen diren kernela eta gidatzaileak erabiltzen ari diren memoria-orriak aldatuz.
    • CWE-280
    • CVSS: 7.8 (handia)
    • Eraso bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua
  • CVE-2025-21424: Memoria korruptzea NPU gidatzaileen API-ak batera deitzean.
    • CWE-416
    • CVSS: 7.8 (handia)
    • Eraso bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua
  • CVE-2024-53010: Memoria korruptzea gertatu daiteke VM erantsi bitartean, HLOS-ak baimenarekin jarraitzen duenean VM-ari.
    • CWE-284
    • CVSS: 7.8 (handia)
    • Eraso bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez detektatua

Arintzea/Konponbidea

Kalteberatasun hauek eta beste batzuk ekiditeko, sistemak eta aplikazioak beti azken bertsiora eguneratuta izatea gomendatzen da. Segurtasun eguneratzea ahalik eta lasterren instalatzea aholkatzen da, bereziki enpresa-gailuetan edo informazio sentikorra dutenetan.

Erreferentzia gehigarriak