В реестре отечественных уязвимостей появилась новая запись, имеющая критический статус. Эксперты подтвердили наличие уязвимости в библиотеке "libimagecodec.quram.so", которая является частью микропрограммного обеспечения мобильных устройств Samsung Galaxy под управлением Android. Ошибка, связанная с записью за пределами буфера (CWE-787), позволяет удаленному злоумышленнику выполнить произвольный код и получить полный контроль над смартфоном. Производитель уже подтвердил проблему и выпустил исправления.
Детали уязвимости
Уязвимость затрагивает устройства, работающие под управлением операционных систем Android 13, 14 и 15. Её базовая оценка по шкале CVSS 3.1 составляет 9.8 баллов из 10, что классифицирует её как критическую. Это означает, что для эксплуатации не требуются специальные привилегии или действия со стороны пользователя. Атака может быть осуществлена через сеть (Network) с низкой сложностью атаки (Low Attack Complexity). Успешная эксплуатация приводит к полной компрометации конфиденциальности, целостности и доступности системы.
По данным аналитиков, уязвимость, получившая идентификатор CVE-2025-21042 и BDU:2025-14812, уже активно используется в дикой природе. Исследовательская группа Unit 42 компании Palo Alto Networks связывает её с комплексным шпионским вредоносным обеспечением (spyware) под названием LandFall. Это вредоносное ПО является инструментом продвинутой постоянной угрозы (APT, Advanced Persistent Threat) и обладает широким набором функций для слежки. Оно способно тайно собирать SMS, историю вызовов, контакты, файлы и данные о местоположении, а также записывать звук с микрофона. Уязвимость в библиотеке обработки изображений использовалась для получения первоначального доступа и обеспечения устойчивости (persistence) на устройстве.
Механизм атаки основан на манипулировании структурами данных. Злоумышленники могут отправить специально сформированное изображение или файл, который при обработке уязвимой библиотекой приводит к переполнению буфера. В результате в память устройства записывается вредоносный код (malicious payload), который затем исполняется. Это предоставляет атакующему права суперпользователя и позволяет установить шпионское ПО, такое как LandFall, для дальнейшего наблюдения.
Samsung оперативно отреагировала на угрозу. Уязвимость была устранена в рамках ежемесячного обновления безопасности за апрель 2025 года. Соответствующий бюллетень и патчи опубликованы на официальном портале безопасности компании. Пользователям абсолютно необходимо установить последние доступные обновления программного обеспечения через настройки устройства. Это единственный надежный способ защиты.
Эксперты по кибербезопасности подчеркивают важность своевременного обновления прошивок, особенно для мобильных устройств. Смартфоны давно стали целью для сложных атак, поскольку содержат огромный массив персональной и профессиональной информации. Уязвимости нулевого дня (zero-day), подобные этой, особенно опасны, так как эксплуатируются до того, как производитель выпустит заплатку. Однако в данном случае исправление уже доступно.
Ситуация с CVE-2025-21042 служит серьезным напоминанием о сложности современных цепочек поставок программного обеспечения. Уязвимость была обнаружена в компоненте, поставляемом Samsung, но затрагивает устройства на стандартной платформе Android. Это демонстрирует, как проблемы в проприетарных библиотеках производителей оригинального оборудования (OEM) могут ставить под угрозу безопасность миллионов пользователей. Следовательно, необходимы скоординированные усилия как со стороны Google, так и со стороны партнеров по экосистеме Android для оперативного устранения подобных инцидентов.
В целом, обнаружение и эксплуатация этой уязвимости подчеркивают растущую изощренность угроз для мобильных экосистем. Киберпреступники и группы, спонсируемые государствами, постоянно ищут новые векторы атак. Пользователям рекомендуется не откладывать установку обновлений безопасности и проявлять осторожность при открытии файлов из неизвестных источников, даже если они выглядят как обычные изображения.
Ссылки
- https://bdu.fstec.ru/vul/2025-14812
- https://www.cve.org/CVERecord?id=CVE-2025-21042
- https://security.samsungmobile.com/securityUpdate.smsb?year=2025&month=04
- https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/
- https://www.malwarebytes.com/blog/news/2025/11/patch-now-samsung-zero-day-lets-attackers-take-over-your-phone
- https://security.samsungmobile.com/securityUpdate.smsb?year=2025&month=04
