Google выпустила июньские патчи для Android, устраняющие более 30 уязвимостей. Все бреши отнесены к категории высокой степени опасности. Но, как это часто бывает, не обошлось без нюансов.
Самой серьёзной Google называет уязвимость CVE-2025-26443 — это локальное повышение привилегий в системном компоненте.
Чтобы её использовать, злоумышленнику не нужны дополнительные права, но потребуется взаимодействие с пользователем (например, нажатие по ссылке или запуск файла).
Обновление также закрывает уязвимости в компонентах Framework, System и Runtime, включая сторонние библиотеки от Arm и Imagination Technologies. Они позволяли проводить DoS-атаки, повышать привилегии или похищать данные.
Под раздачу попали и компоненты Qualcomm — там тоже нашли немало проблем. Однако три уязвимости, которые Qualcomm раскрыл в понедельник — CVE-2025-21479, CVE-2025-21480 и CVE-2025-27038 — в список Google не попали. Хотя именно эти «нулевки» уже активно эксплуатируются в реальных атаках, как сообщает команда Threat Analysis Group.
Google подтверждает, что следит за ситуацией: эти три уязвимости используются в таргетированных атаках, но патчи пока не готовы. А ведь похожие дыры в прошлом уже становились основой шпионских кампаний.
Что касается доставки обновлений — как всегда, всё зависит от производителей. Обновления уже начали распространять Samsung, LGE и Motorola, но пока только Motorola опубликовала официальную сводку. Google же ещё не выложила июньский бюллетень для Pixel.
