Google, Ağustos 2025 için en son Android Güvenlik Bülteni’ni yayınladı ve Android ekosistemindeki birden fazla güvenlik açığını ele aldı. En önemli güvenlik açıkları arasında, CVE-2025-21479 ve CVE-2025-27038’in bu ayın güvenlik sürümünden önce vahşi doğada sömürüldüğü bildirildi. Bunlara, Haziran 2025’te açıklanan bir başka ciddi Qualcomm kusuru olan CVE-2025-21480 ile birleştirildi.
İki birincil güvenlik açığı, CVE-2025-21479 ve CVE-2025-27038, sırasıyla 8.6 ve 7.5 CVSS skoru almış ve bu da kritik şiddete yükselmiştir. Üçüncüsü, CVE-2025-21480 de 8.6 puan aldı ve yakından izleniyor. Üçü de Haziran ayında Qualcomm tarafından kamuya açıklandı ve kesin sömürü yöntemleri kamuya açıklanmamış olsa da, hedeflenen saldırılarda aktif olarak kullanıldıklarını gösteren güvenilir bir zeka var.
Qualcomm’un açıklamasına göre, CVE-2025-21479, grafik bileşeninde GPU mikro kodunda yetkisiz komut yürütmeye izin verebilecek ve potansiyel bellek yolsuzluğuna yol açabilecek yanlış bir yetkilendirme sorunu içeriyor. CVE-2025-27038, grafik bileşeninde de kullanılmaz bir güvenlik açığı olarak kategorize edilir ve adreno GPU sürücüleri aracılığıyla, özellikle krom ortamlarda grafik oluştururken bellek bozulmasına neden olabilir.
Google Tehdit Analiz Grubu, bu güvenlik açıklarının CVE-2025-21479, CVE-2025-21480 ve CVE-2025-27038’in “sınırlı, hedeflenen sömürüye” tabi olduğunu göstermiştir. Ancak, ilgili saldırı vektörleri veya tehdit aktörleri hakkında başka teknik ayrıntı açıklanmamıştır.
Android Güvenlik Bülteni: Güvenlik Yaması seviyesi ve kapsamı
2025-08-05 seviyesine yamalanmış cihazlar, bu ayın Android güvenlik bülteninde listelenen tüm güvenlik açıklarına karşı korunacak.
Kullanıcılar Ayarlar menüsünden cihazlarının yama seviyesini doğrulayabilir. Google, Android ortaklarının, koordineli açıklama süreçleri doğrultusunda en az bir ay önceden bu güvenlik açıklarına karşı uyarıldığını vurgulamaktadır.
Bülten ayrıca, ilgili tüm yamaların bültenin serbest bırakılmasından sonraki 48 saat içinde Android Açık Kaynak Projesi’ne (AOSP) itileceğini belirtiyor. 4 Ağustos 2025 itibariyle bu süreç halihazırda devam etmektedir.
Kritik sistem güvenlik açığı da ele alındı
Qualcomm güvenlik açıklarının yanı sıra, bülten, Android sistem bileşeninde bir başka kritik kusuru vurgular: CVE-2025-48530, bir Uzak Kod Yürütme (RCE) güvenlik açığı. Bu sorun, saldırganların kullanıcı etkileşimi veya yüksek ayrıcalıklar gerektirmeden keyfi kodları uzaktan yürütmesine izin verebilir. Android 16 çalıştıran cihazlar özellikle risk altındadır, ancak daha önceki sürümler için hafifletmeler mevcuttur.
Google, özellikle mevcut güvenlik önlemleri atlanırsa, bir istismarın neden olabileceği potansiyel hasar nedeniyle bu güvenlik açığını kritik olarak değerlendirmiştir.
Çerçeve ve sistem bileşenlerinde ek güvenlik açıkları
Ağustos 2025 bülteninde, etkilenen bileşenlerine göre gruplandırılmış diğer birçok güvenlik açıkını da listeler. Çerçeve bileşeninde, CVE-2025-22441 ve CVE-2025-48533, ayrıcalık (EOP) güvenlik açıklarının yüksek şiddetli yüksekliği olarak işaretlendi. Bu kusurlar, Android sürümleri 13 ila 16 çalıştıran cihazları etkiler.
Sistem bileşeni ayrıca, belirtildiği gibi uzaktan kod yürütmesini sağlayabilecek CVE-2025-48530 gibi güvenlik açıklarına da ev sahipliği yapıyordu. Bu sorunların her biri ilgili Android sürüm satırlarında buna göre yamalanmıştır.
Çözüm
CVE-2025-21479 ve CVE-2025-21480 dahil olmak üzere bu güvenlik açıklarıyla ilişkili riski azaltmak için Google, katmanlı bir güvenlik yaklaşımına güvenmeye devam etmektedir. Bunun merkezinde, Google mobil hizmetleri olan cihazlarda önceden etkin olan Google Play Protect ve potansiyel olarak zararlı uygulamalar için taramalar, özellikle de Play Store’un dışındaki uygulamaları yükleyen kullanıcılar için hayati önem taşıyor.
Ayrıca, daha yeni Android sürümleri, sömürüyü daha zor hale getirmek için geliştirilmiş bellek korumaları, kum havuzlama ve çalışma zamanı kontrolleri gibi daha iyi savunmalar içerir. Özellikle, Ağustos 2025 Android Güvenlik Bülteni, bu ay Project Mainline aracılığıyla teslim edilen yeni bir düzeltme olmadığını ve tüm güncellemelerin 1 Ağustos ve 5 Ağustos güvenlik yama seviyelerinde konsolide edildiğini doğruladı.
Cihazlar, bu yama seviyelerinden birine tam olarak korunmak için güncellenmelidir ve 2025-08-05 bugüne kadar bilinen tüm güvenlik açıklarını kapsar. Bülten ayrıca, hem kullanıcılar hem de geliştiriciler için şeffaflık sağlayan uzaktan kod yürütme (RCE), ayrıcalık yüksekliği (EOP) ve Hizmet Reddetme (DOS) dahil olmak üzere ortak güvenlik açığı sınıflandırmalarını netleştirir.