Η Google εξέδωσε το ενημερωτικό δελτίο ασφαλείας Android του Ιανουαρίου 2026, προτρέποντας τους χρήστες να ενημερώσουν το επίπεδο ενημέρωσης κώδικα 2026-01-05 ή μεταγενέστερο για να μετριάσουν μια κρίσιμη ευπάθεια στα στοιχεία Dolby.
Το σημαντικό ζήτημα, CVE-2025-54957, στοχεύει τον κωδικοποιητή Dolby Digital Plus (DD+) και θα μπορούσε να ενεργοποιήσει την εγγραφή εκτός ορίων στη μνήμη σε επηρεαζόμενες συσκευές Android.
Στην καρδιά αυτού του ελαττώματος βρίσκεται μια ευπάθεια εγγραφής εκτός ορίων στις εκδόσεις 4.5 έως 4.13 του Dolby’s Universal Decoder Core (UDC). Ενεργοποιείται μόνο όταν επεξεργάζεται ένα ειδικά δημιουργημένο bitstream DD+, ένα που έχει υποστεί χειροκίνητη επεξεργασία ώστε να είναι “έγκυρο” αλλά μη τυπικό.
Τα νόμιμα εργαλεία συγγραφής Dolby δεν μπορούν να δημιουργήσουν τέτοιες ροές, περιορίζοντας τη φυσική εμφάνιση. Ωστόσο, το ενημερωτικό δελτίο σημειώνει μια αναφορά που περιλαμβάνει συσκευές Google Pixel, στις οποίες αυτό το σφάλμα ενισχύει τον κίνδυνο όταν συνδυάζεται με άλλες γνωστές ευπάθειες ειδικά για το Pixel.
«Άλλες κινητές συσκευές Android θα μπορούσαν να κινδυνεύουν από παρόμοια τρωτά σημεία», Η Google προειδοποιεί. Για υλικό που δεν είναι Pixel, η εκμετάλλευση συνήθως οδηγεί σε σφάλμα αναπαραγωγής πολυμέσων ή επανεκκίνηση της συσκευής, υποδηλώνοντας μια χαμηλή γραμμή για κακόβουλη χρήση μεμονωμένα.
Η σοβαρότητα αξιολογείται ως Critical από την Dolby, με πλήρεις λεπτομέρειες διαθέσιμες μέσω των καναλιών της (A-438955204). Τα μπαλώματα είναι ήδη θα κυκλοφορήσει και οι αλλαγές στον πηγαίο κώδικα του AOSP θα ακολουθήσουν εντός 48 ωρών από τη δημοσίευση του δελτίου.
Αυτή η ευπάθεια υπογραμμίζει τις συνεχιζόμενες προκλήσεις στους κωδικοποιητές πολυμέσων, έναν αιώνιο φορέα για εκμεταλλεύσεις Android. Η αποκωδικοποίηση DD+ χειρίζεται ήχο υψηλής ποιότητας σε εφαρμογές και υπηρεσίες ροής, καθιστώντας την πρωταρχικό στόχο.
Σύμφωνα με την αναφορά, οι εισβολείς θα μπορούσαν να ενσωματώσουν κακόβουλα bitstreams σε φαινομενικά καλοήθη αρχεία πολυμέσων, επιτρέποντας ενδεχομένως την εκτέλεση κώδικα, εάν συνδυαστούν με σφάλματα κλιμάκωσης προνομίων, ειδικά στα Pixels.
Η Google δίνει έμφαση στις πολυεπίπεδες άμυνές της. Η πλατφόρμα ασφαλείας Android περιλαμβάνει μετριασμούς εκμετάλλευσης, όπως διαχείριση σκληρυμένης μνήμης, ενώ το Google Play Protect σαρώνει για δυνητικά επιβλαβείς εφαρμογές (PHA) σε πραγματικό χρόνο.
Ενεργοποιημένο από προεπιλογή σε συσκευές Google Mobile Services (GMS), το Play Protect έχει αποτρέψει αμέτρητες απειλές. Οι συνεργάτες λαμβάνουν εκ των προτέρων ειδοποιήσεις τουλάχιστον ένα μήνα πριν, επιτρέποντας έγκαιρες ενημερώσεις κώδικα OEM.
Οι χρήστες θα πρέπει να ελέγξουν αμέσως το επίπεδο ενημέρωσης κώδικα ασφαλείας της συσκευής τους μέσω Ρυθμίσεις > Σχετικά με το τηλέφωνο > Έκδοση Android. Δώστε προτεραιότητα στις ενημερώσεις, ειδικά για τους κατόχους Pixel, και μείνετε στο Google Play για εφαρμογές που αξιοποιούν το Play Protect.
Αν και δεν επιβεβαιώνονται ενεργά exploit, αυτό το επίπεδο ενημέρωσης κώδικα αντιμετωπίζει ευρύτερα ζητήματα ομαδοποιημένα ανά στοιχείο, με το Dolby να είναι το επισημασμένο. Η ομάδα ασφαλείας συνεχίζει την παρακολούθηση μέσω τηλεμετρίας Play Protect.
