Site icon Kiber.ba

Androidov novembarski update ispravlja kritičnu ranjivost za daljinsko izvršavanje koda

StefanB
Androidov novembarski update ispravlja kritičnu ranjivost za daljinsko izvršavanje koda-Kiber.ba

Androidov novembarski update ispravlja kritičnu ranjivost za daljinsko izvršavanje koda-Kiber.ba

Novembarski 2025 Android zakrpe rješavaju dvije ranjivosti, obje u komponenti System.

Google je u ponedjeljak objavio novi set bezbjednosnih ažuriranja za Android platformu, kojima se adresiraju dvije ranjivosti u komponenti System.

Novembarska ispravka označava i promjenu u odnosu na praksu koju Google primjenjuje od 2015. godine, jer sada dolazi sa samo jednim nivoom bezbjednosne zakrpe – 2025-11-01.

Skoro deceniju unazad, ažuriranja su bila podijeljena u dva nivoa bezbjednosnih zakrpa, kako bi proizvođači lakše mogli da riješe ranjivosti specifične za svoje uređaje. Drugi nivo svake mjesečne zakrpe obuhvatao je sve ispravke grešaka navedenih u tadašnjem bezbjednosnom biltenu.

Jul 2025. bio je prvi mjesec u deset godina bez Android zakrpa, a isto se ponovilo i u oktobru. U avgustu i septembru, međutim, Google je ispravio više od 100 ranjivosti, uključujući tri koje su već bile aktivno iskorišćene.

Kompanija nije navela da li su dvije sada ispravljene ranjivosti aktivno eksploatisane, ali upozorava da se jedna od njih može zloupotrijebiti za daljinsko izvršavanje koda (RCE).

„Najozbiljniji od ovih problema je kritična bezbjednosna ranjivost u komponenti System koja može dovesti do daljinskog izvršavanja koda, bez potrebe za dodatnim privilegijama. Interakcija korisnika nije potrebna za eksploataciju“, navodi se u Googleovom bezbjednosnom biltenu.

Ranjivost je označena kao CVE-2025-48593 i opisana je kao problem nedovoljne validacije korisničkog unosa koji pogađa Android verzije 13, 14, 15 i 16.

Druga Android ranjivost zakrpljena ovoga mjeseca nosi oznaku CVE-2025-48581 i pogađa uređaje koji koriste Android 16.

„U VerifyNoOverlapInSessions funkciji fajla apexd.cpp postoji mogućnost blokiranja bezbjednosnih ažuriranja kroz mainline instalacije zbog logičke greške u kodu. To može dovesti do lokalne eskalacije privilegija, bez potrebe za dodatnim privilegijama“, navodi se u NIST-ovom izvještaju.

Google Play sistemska ažuriranja ovoga mjeseca nijesu donijela nikakve bezbjednosne ispravke, kao ni novembarski bilteni za Automotive OS i Wear OS.

Uređaji koji imaju nivo bezbjednosne zakrpe 2025-11-01 smatraju se zaštićenima od navedenih ranjivosti.

Izvor: SecurityWeek

Exit mobile version