Januarsko Android ažuriranje za 2026. godinu zakrpljuje samo jednu ranjivost, i to kritični problem u Dolby audio dekoderu, čije je postojanje postalo poznato u oktobru 2025. godine.
Propust, koji se vodi kao CVE-2025-54957, u trenutku objavljivanja je opisan kao problem srednje jačine, tačnije „out-of-bounds write“ ranjivost koja pogađa široko korišćeni Dolby Digital Plus (DD+) Unified Decoder.
Ranjivost, koju je moguće iskoristiti pomoću posebno pripremljenih medijskih fajlova, otkrili su Googleovi istraživači i prijavili kompaniji Dolby u junu 2025. godine, dok je zakrpa objavljena u septembru.
Ovaj bezbjednosni propust dospio je u fokus javnosti u oktobru, nakon što je Google objavio tehničke detalje, a Microsoft saopštio da je zakrpio bezbjednosnu rupu u operativnom sistemu Windows.
U većini slučajeva, ranjivost može dovesti do rušenja sistema ili ponovnog pokretanja uređaja, što su Googleovi istraživači demonstrirali na uređajima Pixel 9, Samsung S24, MacBook Air M1 i iPhone 17 Pro.
Međutim, istraživači su otkrili da je na Android uređajima moguće ostvariti „zero-click“ udaljeno izvršavanje koda. Zbog toga je CVE-2025-54957 na Android platformi dobio kritičnu ocjenu ozbiljnosti.
„Na Android OS-u, audio prilozi i glasovne poruke se dekodiraju lokalno; samim tim, propust se može iskoristiti bez ikakve interakcije korisnika“, objasnio je Adam Boynton, viši menadžer za bezbjednosnu strategiju u kompaniji Jamf.
Google je zakrpu za ovaj propust uključio u decembarsko ažuriranje za Pixel telefone iz 2025. godine, a sada je tehnološki gigant objavio zakrpu i za sve ostale Android uređaje.
Januarski bezbjednosni bilten za Android iz 2026. godine ne navodi nijednu drugu ranjivost. Ovog mjeseca nisu objavljena ažuriranja za Pixel, Android Automotive OS niti Wear platformu.
Izvor: SecurityWeek
