Компания Samsung выпустила июльское обновление безопасности (SMR-JUL-2026), в котором исправлено 40 уязвимостей, затрагивающих устройства под управлением Android 14, 15 и 16. В бюллетене, опубликованном 7 июля, указано, что часть из них имеет критический уровень опасности и может быть использована для удаленного выполнения кода, обхода ограничений безопасности, раскрытия конфиденциальной информации и манипуляции данными. Обновление включает как патчи от Google (из Android Security Bulletin за июль 2026 года), так и собственные исправления Samsung, объединенные в пакете SMR-JUL-2026 Release 1.
Детали уязвимостей
Среди критических уязвимостей, полученных из бюллетеня Google, значатся CVE-2026-27280, CVE-2026-28590, CVE-2026-28618, CVE-2026-28639 и CVE-2026-33636. Все они имеют рейтинг Critical и, согласно описанию, позволяют удаленному злоумышленнику выполнить произвольный код на уязвимом устройстве без взаимодействия с пользователем. Еще 35 уязвимостей от Google отнесены к уровню High - они также опасны, но требуют определенных условий для эксплуатации, например локального доступа или участия жертвы. В этот список вошли, в частности, CVE-2025-48564, CVE-2025-48565, CVE-2026-0001, CVE-2026-0010 и другие.
Помимо патчей Google, Samsung закрыла 16 собственных уязвимостей (SVE), часть из которых представляет высокую угрозу. Большинство из них связаны с выходом за границы буфера (out-of-bounds write) в библиотеках обработки мультимедиа. К примеру, уязвимости SVE-2026-1087 (CVE-2026-21045) и SVE-2026-1650 (CVE-2026-21048) обнаружены в компоненте libimagecodec.media.quram.so при разборе TIFF- и DNG-файлов соответственно. В случае эксплуатации атакующий сможет записать данные за пределы выделенной памяти, что приведет к выполнению произвольного кода. Проблема исправлена добавлением проверки входных данных.
Другие уязвимости высокого уровня, такие как SVE-2026-0716 (CVE-2026-21042) и SVE-2026-1820 (CVE-2026-21049), затрагивают библиотеки libsavsac.so и libpadm.so. Они также позволяют локальному злоумышленнику выполнить произвольный код. Уязвимость SVE-2026-1141 (CVE-2026-21046) связана с состоянием гонки (time-of-check time-of-use) в компоненте fabricKeymaster trustlet - привилегированный локальный нападающий может ею воспользоваться для выполнения кода в контексте доверенной среды. Исправление включает корректную логику валидации.
Отдельного внимания заслуживают уязвимости умеренного уровня, которые тем не менее могут быть использованы для локального раскрытия информации или обхода настроек. Среди них SVE-2025-2635 (CVE-2026-21039) в приложении "Настройки" - из-за недостаточного контроля доступа локальный злоумышленник мог изменить параметры защиты от кражи. Уязвимость SVE-2026-0050 (CVE-2026-21050) в модуле SmartThingsKit позволяет локальному пользователю получить доступ к конфиденциальным данным. Также исправлены проблемы в сервисах IAFDService (SVE-2026-0002), SamsungSEAgentService (SVE-2026-0255) и WLAN Security (SVE-2026-0379) - во всех случаях добавлены правильные проверки полномочий.
Две уязвимости связаны с обходом пути (path traversal) в службах Wallpaper service (SVE-2026-1009) и SemClipboardService (SVE-2026-1767). Они позволяли локальным привилегированным пользователям обращаться к файлам с правами системы. Разработчики добавили проверку входных данных, чтобы предотвратить подобные атаки.
Характер исправлений показывает, что основная часть уязвимостей затрагивает системные библиотеки и сервисные компоненты, которые обрабатывают пользовательские данные (изображения, буфер обмена, настройки). Потенциальная атака через отправку специально сформированного TIFF- или DNG-файла может привести к удаленному выполнению кода без ведома владельца устройства. Хотя для эксплуатации большинства уязвимостей требуется локальный доступ, критический уровень некоторых проблем делает обновление обязательным для всех пользователей совместимых моделей.
Компания рекомендует как можно скорее установить версию прошивки SMR-JUL-2026 Release 1 или более позднюю. Проверить наличие обновления можно в настройках устройства в разделе "Обновление ПО". Подробная информация о патчах доступна на странице безопасности Samsung по адресу security.samsungmobile.com. Пользователям, которые откладывают установку обновлений, стоит учитывать, что эксплуатация критических уязвимостей возможна через простые векторы - например, через переход по ссылке или открытие вредоносного медиафайла. Патч закрывает эти бреши, поэтому установка его как можно скорее снижает риск компрометации до минимума.
Ссылки