Google, Ocak 2026 Android Güvenlik Bülteni’ni yayınlayarak kullanıcıları Dolby bileşenlerindeki kritik bir güvenlik açığını azaltmak için 2026-01-05 yaması düzeyine veya daha sonraki bir sürüme güncelleme yapmaya çağırdı.
Göze çarpan sorun olan CVE-2025-54957, Dolby Digital Plus (DD+) codec bileşenini hedef alıyor ve etkilenen Android cihazlarda sınırların dışında bellek yazma işlemlerini etkinleştirebiliyor.
Bu kusurun temelinde Dolby’nin Universal Decoder Core (UDC) 4.5 ila 4.13 sürümlerindeki sınır dışı yazma güvenlik açığı yatıyor. Yalnızca, “geçerli” olacak şekilde manuel olarak düzenlenen ancak standart dışı olan, özel olarak hazırlanmış bir DD+ bit akışını işlerken tetiklenir.
Meşru Dolby yazma araçları bu tür akışlar oluşturamaz, bu da doğal oluşumu sınırlandırır. Ancak bülten, Google Pixel cihazlarını içeren ve bu hatanın diğer bilinen Pixel’e özgü güvenlik açıklarıyla birleştirildiğinde riski artırdığı bir rapora dikkat çekiyor.
Google, “Diğer Android mobil cihazlar da benzer güvenlik açıkları riskiyle karşı karşıya olabilir” diye uyarıyor. Pixel olmayan donanımlar için, istismar genellikle medya oynatıcının çökmesine veya cihazın yeniden başlatılmasına neden olur ve bu da kötü amaçlı kullanım için düşük bir çıtanın olduğunu gösterir.
Önem derecesi Dolby tarafından Kritik olarak derecelendirilmiştir ve tüm ayrıntılara kendi kanallarından ulaşılabilir (A-438955204). Yamalar halihazırda kullanıma sunuluyor ve bültenin yayınlanmasından sonraki 48 saat içinde AOSP kaynak kodu değişiklikleri yapılacak.
Bu güvenlik açığı, Android istismarlarının kalıcı bir vektörü olan multimedya codec bileşenlerinde süregelen zorlukların altını çiziyor. DD+ kod çözme, uygulamalarda ve akış hizmetlerinde yüksek kaliteli sesi işler ve bu da onu birincil hedef haline getirir.
Rapora göre saldırganlar, görünüşte zararsız medya dosyalarına kötü niyetli bit akışları yerleştirebilir ve özellikle Pixel’lerde ayrıcalık yükseltme hatalarıyla birleştiğinde potansiyel olarak kod yürütülmesine olanak sağlayabilir.
Google katmanlı savunmasını vurguluyor. Android güvenlik platformu, güçlendirilmiş bellek yönetimi gibi istismar azaltımlarını içerirken Google Play Koruma, potansiyel olarak zararlı uygulamaları (PHA’lar) gerçek zamanlı olarak tarar.
Google Mobil Hizmetleri (GMS) cihazlarında varsayılan olarak etkin olan Play Koruma, sayısız tehdidi engelledi. İş ortakları en az bir ay önceden ön bildirimler alarak OEM yamalarının zamanında yapılmasını sağlar.
Kullanıcılar, Ayarlar > Telefon hakkında > Android sürümü aracılığıyla cihazlarının güvenlik yaması düzeyini hemen kontrol etmelidir. Özellikle Pixel sahipleri için güncellemelere öncelik verin ve Play Koruma’dan yararlanacak uygulamalar için Google Play’e sadık kalın.
Etkin bir açıktan yararlanma doğrulanmasa da bu yama düzeyi, bileşenlere göre gruplandırılmış daha geniş sorunları ele alıyor; Dolby öne çıkıyor. Güvenlik ekibi Play Koruma telemetrisi aracılığıyla izlemeye devam ediyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
