Google, Android cihazlar için ayrıcalık artışına ve uzaktan kod yürütülmesine izin verebilecek birden fazla yüksek aralıklı güvenlik açıklarını ele alan kapsamlı bir güvenlik güncellemesi yayınladı.
Güncelleme, dünya çapında Android kullanıcıları için önemli güvenlik riskleri oluşturan CVE derecelendirmeleri taşıyan birçok güvenlik açığı ile ARM, Imagination Technologies ve Qualcomm dahil olmak üzere büyük donanım satıcılarında kritik kusurları hedefliyor.
Bu son bülten, bu yıl yayınlanan en kapsamlı güvenlik yamalarından birini temsil ederek GPU sürücüleri, çekirdek bileşenleri ve Android’in donanım soyutlama katmanının temelini oluşturan kapalı kaynak öğeleri arasında yer alan güvenlik açıklarını ele alıyor.
.png
)
Güvenlik güncellemesi, önde gelen yarı iletken üreticilerinden grafik işleme birimlerini etkileyen çok sayıda yüksek şiddetli güvenlik açıklarını ele almaktadır.
Kritik GPU güvenlik açıkları
ARM’nin Mali GPU bileşenleri iki kritik güvenlik açısından etkilenir: her ikisi de potansiyel olarak saldırganların grafik subsistem aracılığıyla yüksek ayrıcalıklar kazanmasına izin verebilecek yüksek şiddetli tehditler olarak sınıflandırılan CVE-2025-0073 ve CVE-2025-0819.
Hayal Gücü Technologies’in PowerVR-GPU sürücüleri, hemen dikkat gerektiren yedi farklı yüksek şiddetli kusurla daha da kapsamlı bir güvenlik açığı manzarasıyla karşı karşıya.
Etkilenen CVES, CVE-2024-12576, CVE-2024-12837, CVE-2024-47893, CVE-2025-0468, CVE-2025-0478, CVE-2025-0835 ve CVE-2025-25178’dir.
Bu güvenlik açıkları farklı PowerVR-GPU uygulamalarına yayılmıştır ve yüksek izinlerle keyfi kod yürütmek için potansiyel olarak kullanılabilir, bu da onları hayal gücü teknolojilerinin grafik çözümlerini kullanan cihazlar için özellikle tehlikeli hale getirir.
GPU ile ilgili güvenlik açıklarının yaygınlığı, yüksek sistem ayrıcalıkları ve donanıma doğrudan erişim ile çalışan grafik sürücüleri tarafından sunulan büyüyen saldırı yüzeyinin altını çizmektedir.
Güvenlik araştırmacıları, GPU sürücülerini karmaşık kod tabanları ve grafik API’leri ve gölgelendirici derleme süreçleri aracılığıyla güvenilmeyen kullanıcı-uzay uygulamalarıyla sık sık etkileşim nedeniyle ayrıcalık artış saldırıları için cazip hedefler olarak tanımladılar.
Qualcomm çekirdeği ve kapalı kaynaklı bileşen kusurları
Qualcomm bileşenleri, hem açık kaynaklı çekirdek elemanlarını hem de tescilli kapalı kaynak bileşenlerini etkileyen güvenlik açıkları ile ikili bir zorluk sunar.
Çekirdek güvenlik açıkları arasında CVE-2025-21424, CVE-2025-21485 ve CVE-2025-21486 bulunur.
Bu çekirdek seviyesi güvenlik açıkları, özellikle işletim sisteminin en ayrıcalıklı seviyesinde çalıştıkları için özellikle ilgilidir ve potansiyel olarak saldırganların etkilenen cihazlar üzerinde tam kontrol sahibi olmalarına izin verebilir.
Kapalı kaynaklı bileşen güvenlik açıkları, güvenlik değerlendirmesi ve iyileştirme için ek karmaşıklık sunmaktadır.
Altı yüksek şiddetli kusur tanımlanmıştır: CVE-2024-53010, CVE-2024-53019, CVE-2024-53020, CVE-2024-53021, CVE-2024-53026 ve CVE-2025-27029.
Bu bileşenlerin kapalı kaynaklı doğası, ayrıntılı güvenlik açığı bilgilerinin yalnızca Qualcomm’un güvenlik bültenleri aracılığıyla mevcut olduğu ve bağımsız güvenlik değerlendirmesi ve doğrulama için zorluklar yarattığı anlamına gelir.
Bu güvenlik açıkları potansiyel olarak milyonlarca cihazı etkileyerek Android ekosisteminin güvenlik duruşunu korumak için güvenlik güncellemelerinin hızlı bir şekilde dağıtılmasını kritik hale getirebilir.
Cihaz Güncellemeleri
Android Cihaz Üreticileri, uygun güvenlik açığı kapsamını sağlamak için belirli güvenlik yama seviyesi dizeleri uygulamalıdır.
2025-06-01 güvenlik yama seviyesini kullanan cihazlar, bu seviye ve önceki bültenlerle ilişkili tüm sorunları ele alırken, 2025-06-05 yama seviyesini uygulayan cihazlar, her iki yama seviyesinde geçerli tüm güvenlik açıkları için kapsamlı düzeltmeler içermelidir.
Yapı yapılandırması ayar gerektirir [ro.build.version.security_patch] Mülkiyet [2025-06-01] veya [2025-06-05] uygulanan yama seviyesine bağlı olarak.
Google, kapsamlı güvenlik kapsamı sağlarken Android ortaklarına dağıtım stratejilerinde esneklik sağlamak için bu bülteni çift güvenlik yaması seviyeleriyle yapılandırdı.
Bu yaklaşım, üreticilerin tanımlanan tüm düzeltmelerin tam olarak uygulanmasına çalışırken daha geniş cihaz popülasyonlarını etkileyen kritik güvenlik açıklarına öncelik vermelerini sağlar.
Android 10 veya sonraki sürümleri çalıştıran cihazlar için, Google Play System güncelleme mekanizması, 2025-06-01 Güvenlik Yaması seviyesiyle eşleşen tarih dizeleri ile güvenlik güncellemeleri sunmak için ek bir yol sağlar.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği