Mayıs 2025 Android Güvenlik Bülteni Düzeltmeleri 46 Güvenlik Açığı

   Mayıs 7, 2025  Posted in ThecyberExpress


Google, Android güvenlik bültenini Mayıs 2025 için yayınladı ve Android ekosistemine kritik güncellemeler sundu. Bu aylık güncelleme, biri-CVE-2025-27363-vahşi doğada kullanılmış olan 46 güvenlik açıkını çözüyor.

CVSS skoru 8.1 olan yüksek şiddetli bir güvenlik açığı olan CVE-2025-27363, Google’ın Mayıs 2025 Android güvenlik bülteninin merkezinde yer alıyor. Android sistem bileşeninde bulunan bu kusur, yüksek ayrıcalıklar veya kullanıcı etkileşimi gerektirmeden yerel kod yürütülmesini sağlar, özellikle platform ve hizmet azaltmaları atlanırsa, cihaz bütünlüğü için ciddi bir risk oluşturur.

Yaygın olarak kullanılan Freetype açık kaynaklı yazı tipi oluşturma kütüphanesinden kaynaklanan güvenlik açığı, ilk olarak Mart 2025’te Facebook araştırmacıları tarafından tanımlandı ve o zamandan beri sınırlı, hedefli sömürüde gözlemlendi.

Google, bu güncellemede ele alınan en kritik konu olarak tanımladı ve “Bu sorunların en şiddetli, sistem bileşeninde, 5 Mayıs 2025’te yayınlanan danışmanında, ek yürütme ayrıcalıklarına gerek kalmadan yerel kod yürütmesine yol açabilecek yüksek güvenlik açığıdır.

Mayıs 2025 Android Güvenlik Bülteninden Temel Ayrıntılar

Mayıs Bülteni güvenlik açıklarını iki yama seviyesine ayırır:

  • 2025-05-01 Güvenlik Yaması seviyesi
  • 2025-05-05 Güvenlik Yaması seviyesi

2025-05-05 güncellemesini alan cihazlar da daha önce açıklanan tüm sorunlardan korunacaktır.


Tarayıcınız video etiketini desteklemez.

Bültenden önemli noktalar

  • 46 Sistem, çerçeve, çekirdek ve üçüncü taraf donanım sürücüleri gibi temel bileşenlerde ele alınan güvenlik açıkları.
  • Android ortakları, Bülten’in yayınlanmasından en az bir ay önce bilgilendirildi.
  • Kaynak kodu yamaları, yayınladıktan sonraki 48 saat içinde Android Açık Kaynak Projesi’ne (AOSP) yayınlanacaktır.

Diğer yüksek şiddetli güvenlik açıkları yamalı

CVE-2025-27363 dışında, diğer kritik konular da çözüldü. Bunlar şunları içerir:

Çerçeve güvenlik açıkları (örnekler)

  • CVE-2025-0087-Android sürümlerini etkileyen ayrıcalık (EOP) yüksekliği 13, 14 ve 15.
  • CVE-2025-26426-Android 13, 14 ve 15’i etkileyen EOP sorunu.

Sistem bileşeni güvenlik açıkları

  • CVE-2025-26420, CVE-2025-26421-Birden çok sürümlerde yamalanmış yüksek şiddetli EOP hataları.
  • CVE-2025-26430-Android 15’i etkileyen yerel EOP.

Google Play Sistem Güncellemeleri

Sorunlar için düzeltmeler:

  • Belgeler UI
  • İzin denetleyicisi
  • WiFi Alt Sistemi

Üçüncü taraf bileşen güvenlik açıkları

Bülten ayrıca donanım satıcılarına ve yonga seti üreticilerine bağlı güvenlik açıklarını listeler. Bunlar şunları içerir:

Kol (Mali GPU sürücüleri)

  • CVE-2025-0072
  • CVE-2025-0427

Hayal Gücü Teknolojileri (PowerVR GPU)

  • CVE-2024-49739 ve CVE-2024-47891 dahil olmak üzere çoklu CVE’ler

MediaTek

  • CVE-2025-20666-MediaTek Modem Bileşenlerinde Yüksek Yerli Sorun

Qualcomm

Dahil olmak üzere birçok sorun:

  • CVE-2025-21467 ve CVE-2025-21468-Kamera ve konum hizmetlerini etkileyen yüksek riskli kusurlar
  • Kapalı kaynaklı Qualcomm bileşenlerinde güvenlik açıkları

Google Play koruma ve platform düzeyinde savunmalar

Google, Google Play Protect’in önemini vurgular:

  • Google Mobile Hizmetleri ile cihazlarda varsayılan olarak etkinleştirildi
  • Kullanıcıları potansiyel olarak zararlı uygulamalar (PHA’lar) hakkında tespit etmek ve uyarmak için tasarlanmıştır
  • Özellikle Play Store’un dışından uygulama yükleyen kullanıcılar için hayati bir savunma katmanı

Ayrıca Google, daha yeni Android sürümlerinin sömürüyü zorlaştıran gelişmiş hafifletmeler içerdiğini belirtiyor.

Güvenlik yama seviyenizi nasıl kontrol edersiniz

Kullanıcılar, en son korumaya sahip olduklarından emin olmak için Android sürümlerini kontrol edebilir ve güncelleyebilir. Aşağıdaki yama dizelerine sahip cihazlar güvenli kabul edilir:

  • [ro.build.version.security_patch]:[2025-05-01]
  • [ro.build.version.security_patch]:[2025-05-05]

Google, cihaz üreticilerini aerodinamik kullanıcı güvenliği için tek bir OTA güncellemesinde tüm düzeltmeleri paketlemeye teşvik eder.

Çözüm

CVE-2025-27363, Mayıs 2025 Android Güvenlik Bülteni’nde aktif olarak sömürüldüğünü onaylayan tek güvenlik açığı olmaya devam ederek, özellikle Android 10 veya daha sonra kullananların gecikmeden güncellemeleri uygulama aciliyetini vurguluyor. Google, 48 saat içinde Android Açık Kaynak Projesi’nde (AOSP) karşılık gelen yamaların sunulacağını duyurdu.

Kullanıcılar, cihazlarının güvenlik yama düzeyini kontrol etmeye ve en son güncellemeleri kullanıma sunulur kurmaz yüklemeye şiddetle teşvik edilir. Tam teknik detaylar, yama bilgileri ve ilgili kaynaklar resmi Android güvenlik bülteninde bulunabilir – 2025 Mayıs Android Geliştirici Portalında.

Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber ​​Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.



Source link