Компания Google выпустила июньские обновления безопасности Android за 2026 год, устраняющие 124 уязвимости, включая одну уязвимость нулевого дня, активно используемую злоумышленниками в целенаправленных атаках. CVE-2025-48595 использовалась хакерами для получения доступа к выполнению кода и повышения привилегий на устройствах под управлением Android 14 или более поздних версий.
Вчера Google выпустила сразу два набора обновлений безопасности: от 1 июня 2026 года и от 5 июня 2026 года. Последний включает в себя все исправления из первого набора, а также обновления для закрытых сторонних компонентов и элементов ядра, которые могут не применяться ко всем устройствам Android. Устройства Google Pixel получат эти обновления безопасности немедленно, другим производителям может потребоваться больше времени для тестирования и настройки под конкретные аппаратные конфигурации.
Ещё в марте 2025 года Google выявила признаки того, что CVE-2025-48595 «может использоваться в ограниченных, целенаправленных целях». Теперь ошибка исправлена, но компания пока не поделилась техническими подробностями об уязвимости и не предоставила дополнительной информации о реальных атаках, использующих её. Подобные уязвимости ранее использовались коммерческими шпионскими программами и государственными операциями, нацеленными на высокопоставленных лиц.
В этом месяце в обновлениях безопасности Android Google также исправила 18 критических уязвимостей в компонентах System, Framework и Qualcomm с закрытым исходным кодом, которые злоумышленники могли использовать для запуска атак типа «отказ в обслуживании» и повышения привилегий на незащищённых устройствах Android.
«Наиболее серьёзная из этих проблем — критическая уязвимость безопасности в компоненте Framework, которая может привести к удалённому повышению привилегий без необходимости получения дополнительных прав на выполнение. Для эксплуатации не требуется взаимодействие с пользователем», — прокомментировал представитель Google.
Источник изображения: unsplash.com
В декабре 2025 года Google выпустила исправления для двух других уязвимостей нулевого дня высокой степени опасности (CVE-2025-48633 и CVE-2025-48572), а в марте — для ещё одной уязвимости нулевого дня в компоненте дисплея Qualcomm (CVE-2026-21385), все из которых были помечены как «подлежащие ограниченной, целенаправленной эксплуатации».
В прошлом месяце Google обновила свои программы поощрения за обнаружение уязвимостей в Android и Chrome, вплоть до вознаграждения в размере $1,5 млн за некоторые особо опасные эксплойты Android, одновременно сократив выплаты за уязвимости, выявленные с помощью искусственного интеллекта.
«Использование многих уязвимостей в Android затруднено улучшениями в более новых версиях платформы Android. Мы призываем всех пользователей по возможности обновлять Android до последней версии», — подчеркнул представитель Google.