Google’ın Project Zero araştırmacıları, Android (Samsung ve Pixel cihazları) ve Windows da dahil olmak üzere birçok platformu etkileyen orta önemde bir uzaktan kod yürütme (RCE) güvenlik açığı keşfetti. Uzaktan kod yürütme, bir saldırganın izniniz olmadan cihazınızdaki programları çalıştırabileceği anlamına gelir. Dolby’nin ses çalma işlemini gerçekleştiren Birleşik Kod Çözücü Bileşeninde (UDC) bulunan kusur, bir cihaz sesli mesaj aldığında otomatik olarak tetiklenebiliyor; dokunma veya kullanıcı eylemi gerekmiyor.
Kusur, Dolby ses işlemeyi kullanan Android cihazları (örneğin, Google Pixel ve Samsung akıllı telefonlar) ve Dolby UDC 4.5-4.13 sürümlerini çalıştıran Windows sistemlerini etkiliyor. Dolby’nin kod çözme yeteneklerini entegre eden diğer satıcılar da kitaplık güncellemelerine bağlı olarak dolaylı olarak etkilenebilir.
CVE-2025-54957 olarak izlenen sorun, Dolby UDC’nin “evrim verilerini” işleme biçiminden kaynaklanıyor. Dolby Digital Plus (DD+) ses akışları bağlamında, evrim verileri, daha yüksek kanal sayıları, gelişmiş ses yüksekliği meta verileri ve dinamik aralık ayarlamaları gibi ek işlevleri desteklemek için Dolby codec bileşenlerinin sonraki sürümlerinde sunulan özel bir uzantı bloğunu ifade eder.
Arabellek taşması, kod çözücü evrim verilerini ayrıştırdığında ve gelen paketlerin boyutunu yanlış hesapladığında meydana gelir. Bu veri bloğunun uzunluğu meta verilere veya gömülü ses moduna bağlı olarak değişebileceğinden, hatalı uzunluk hesaplaması yetersiz ara bellek tahsisine yol açabilir. Hatalı biçimlendirilmiş veriler daha sonra bitişik belleğin üzerine yazılabilir ve potansiyel olarak uzaktan kod yürütülmesine izin verebilir.
Tamponlar, verileri tutmak için ayrılan hafıza alanlarıdır. Arabellek taşması meydana geldiğinde, başka veriler veya çalıştırılabilir kodlar içerebilen komşu bellek alanlarının üzerine yazılabilir. Bu üzerine yazma işlemin veya programın kasıtlı bir eylemi değil, güvenlik açığının istenmeyen bir sonucudur ve sınır kontrolüyle önlenebilirdi.
Her taşma kötü amaçlı olmasa da arabellek taşmalarının davranışından yararlanılabilir. Saldırganlar bunları diğer programların çalışmasını bozmak, bunların arızalanmasına, sırların açığa çıkmasına ve hatta kötü amaçlı kod çalıştırmasına neden olmak için kullanabilir. Aslında arabellek taşması güvenlik açıkları günümüzde en yaygın güvenlik açıklarındandır.
Bu güvenlik açığından, hedefe özel hazırlanmış bir ses dosyası gönderilerek yararlanılabilir. Bir saldırgan, telefonun veya bilgisayarın ses kod çözme sürecinde kötü amaçlı kod çalıştırmasını sağlayarak çökmelere veya yetkisiz kontrole yol açabilir. Bu, kafanıza bir şarkının o kadar çok takılmasına benzer ki, başka hiçbir şey düşünemezsiniz ve sonunda bir uçurumdan dans etmeye başlarsınız.
CVE-2025-54957’nin kötüye kullanılması tamamen varsayımsal bir durum değildir. Dolby, 14 Ekim tarihli resmi güvenlik tavsiyesinde şunu belirtiyor:
“Google Pixel cihazlarda bulunan ve bu hatanın bilinen diğer Pixel güvenlik açıklarıyla birlikte kullanılması durumunda güvenlik açığı riskinin artabileceğini belirten bir raporun farkındayım. Diğer Android mobil cihazlar da benzer güvenlik açıkları riskiyle karşı karşıya olabilir.”
Dolby herhangi bir ayrıntı açıklamadı ancak yalnızca Eylül 2025 Android güvenlik güncellemelerine bakıldığında, yerel bir saldırganın ayrıcalık yükselmesi (EoP) elde etmesine olanak tanıyan bu hatayla makul bir şekilde zincirlenebilecek birkaç yama var.
Nasıl güvende kalınır?
Bu güvenlik açığını kullanan bir saldırının kurbanı olmayı önlemek için yapabileceğiniz birkaç şey vardır.
- Ses dosyaları da dahil olmak üzere istenmeyen ekleri açmayın.
- Güncelleştirmeleri hemen yükleyin. Dolby, cihaz üreticilerinin ürün yazılımı ve işletim sistemi güncellemelerine dahil etmesi gereken düzeltmeler yayınladı; mümkün olan yerlerde otomatik güncellemeleri etkinleştirin.
- Tercihen bir web bileşenine sahip, güncel, gerçek zamanlı bir kötü amaçlı yazılımdan koruma çözümü kullanın.
Yalnızca telefon güvenliği hakkında rapor vermiyoruz; bunu sağlıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. iOS için Malwarebytes’i ve Android için Malwarebytes’i bugün indirerek tehditleri mobil cihazlarınızdan uzak tutun.