Компания Google выпустила сентябрьское обновление безопасности для Android, закрывшее 111 уязвимостей, включая 84 в самой ОС и 27 в компонентах Qualcomm. Среди них — две критические бреши нулевого дня, которые уже использовались злоумышленниками в реальных атаках. Обновление распространяется на устройства с Android 13 и новее, сообщает BleepingComputer.

Ключевые уязвимости

• CVE-2025-38352 — ошибка повышения привилегий в ядре Android, связанная с условием гонки в POSIX CPU-таймерах. Может привести к сбоям, отказу в обслуживании и эскалации прав.

• CVE-2025-48543 — уязвимость в Android Runtime, позволяющая вредоносному приложению выйти за пределы «песочницы» и получить доступ к системным функциям.

Google отмечает, что обе уязвимости уже эксплуатировались в ограниченных целевых атаках, однако подробности компания не раскрывает.

Кроме того, обновление закрывает четыре критические уязвимости:

• CVE-2025-48539 — позволяет выполнить произвольный код на устройстве через Wi-Fi или Bluetooth без какого-либо действия со стороны пользователя.

• CVE-2025-21450, CVE-2025-21483, CVE-2025-27034 — уязвимости в проприетарных компонентах Qualcomm. Например, CVE-2025-21483 связана с повреждением памяти при обработке видеопотоков, а CVE-2025-27034 — с ошибкой в модемном процессоре, что также может привести к выполнению кода.

Как установить обновление

Пользователям необходимо перейти в меню:
«Настройки» → «Система» → «Обновление ПО» и проверить наличие обновления.

Владельцам смартфонов с Android 12 и более ранними версиями рекомендуется:

• обновиться до поддерживаемой модели,

• либо использовать сторонние прошивки с актуальными патчами безопасности.

Дополнительно

• Для устройств с чипами MediaTek исправления доступны в отдельном бюллетене производителя.

• Samsung выпустила собственное сентябрьское обновление безопасности для флагманов, которое также закрывает уязвимости в оболочке One UI.