6 мая 2026 года корпорация Samsung выпустила очередной ежемесячный пакет обновлений безопасности SMR (Security Maintenance Release) для своих устройств. Эта прошивка закрывает сразу несколько десятков уязвимостей, включая две критические, которые могли позволить злоумышленнику захватить контроль над гаджетом. Владельцам флагманских моделей, носимой электроники и даже ноутбуков Galaxy Book стоит немедленно установить патч.
Детали обновления
Майское обновление оказалось одним из самых насыщенных за последнее время. В него вошли исправления от Google, которые охватывают баги в ядре Android, мультимедийных компонентах и фреймворке, а также десять собственных уязвимостей Samsung, выявленных через программу bug bounty. Самое тревожное - среди них есть ошибка, позволяющая локальному злоумышленнику выполнить произвольный код с максимальными привилегиями.
Две критические уязвимости - CVE-2026-0051 и CVE-2026-0073 - были найдены в компонентах, не раскрытых Google до выпуска бюллетеня. Традиционно такие баги закрываются в первую очередь. Критический уровень означает, что для эксплуатации атакующему не требуется специальных прав доступа к системе: достаточно встроить вредоносный код в медиафайл или передать системе специально сформированный запрос. В результатате злоумышленник может удалённо выполнить вредоносный код и получить полный контроль над устройством.
Кроме того, патч устраняет ещё 27 уязвимостей высокого уровня. Среди них одна из 2025 года - CVE-2025-32348, которая, судя по всему, оставалась неисправленной в предыдущих сборках. Почему Samsung включает "старые" CVE, не указано, но это хороший знак: компания наводит порядок в кодовой базе.
Отдельного внимания заслуживают собственные находки инженеров Samsung - 10 уязвимостей из перечня SVE (Samsung Vulnerabilities and Exposures). Самая опасная из них, SVE-2026-0483 (CVE-2026-21019), затрагивает Galaxy Watch под управлением Android Watch 14 и 16. Дело в том, что функция FacAtFunction, отвечающая за обработку лицевых данных, некорректно проверяла входные данные. Локальная атака позволяла выполнить произвольный код с привилегиями системы. Исследователь, скрывающийся под псевдонимом X0evev, нашёл и сообщил об этой проблеме. Samsung закрыла её, добавив правильную логику проверки.
Не менее серьёзны уязвимости в приложении "Режимы" (Routines). SVE-2025-2186 (CVE-2026-21021) позволяет физическому атакующему (то есть человеку, держащему устройство в руках) запустить привилегированное действие без каких-либо прав. SVE-2026-0252 (CVE-2026-21022) даёт локальному нападающему доступ к чувствительным данным из-за неправильной проверки прав. Обе уязвимости затрагивают Android 14, 15 и 16. Их обнаружили Reza Feizi и Rayyan Kadar соответственно.
Ещё несколько багов касаются работы с разрешениями. Например, SVE-2026-0086 (CVE-2026-21015) в FactoryCamera - заводской камере - имела неверные настройки доступа по умолчанию. Это позволяло локальному злоумышленнику узнать уникальный идентификатор устройства. SVE-2026-0230 (CVE-2026-21016) в LocationManager (менеджере местоположения) ошибочно назначала привилегии, открывая доступ к приватной информации. Нашёл его Chen Jiang из лаборатории vivo kM1rr0rs secLab.
SVE-2026-0478 (CVE-2026-21018) в сервисе SveService содержала классическую ошибку выхода за границы буфера (out-of-bounds write). Локальный атакующий с правами мог выполнить произвольный код. Наконец, SVE-2026-0623 (CVE-2026-21020) в компоненте OmaCP неправильно экспортировала компоненты приложений Android, что позволяло запустить привилегированные функции без соответствующих разрешений.
Часть собственных уязвимостей Samsung пока не раскрывает - компания отложила публикацию деталей, вероятно, чтобы дать время партнёрам обновиться.
Отдельное обновление вышло для ПК Samsung - Galaxy Book. Утилита System Support Service версии до 8.0.8.0 содержала неправильное управление привилегиями. Локальный атакующий мог запустить привилегированные функции без прав администратора. Исследователь Dylan Marino сообщил об этой проблеме. Samsung исправила её повышением строгости контроля доступа.
Под ударом оказались практически все актуальные модели линейки: Galaxy Z Fold и Flip, Galaxy S (от S22 до S26), Galaxy A, M, F, планшеты Tab S и A, а также носимые устройства Galaxy Watch (от Watch4 до Watch8 Ultra) и даже Galaxy XR. Владельцы Galaxy Book4 Ultra, Pro и обычной четвёртой серии тоже должны установить системное обновление.
Для владельцев смартфонов процедура проста: нужно открыть "Настройки", перейти в раздел "Обновление ПО" и скачать новую версию. Если уведомление уже пришло, лучше не откладывать установку на потом. В современных моделях Samsung автоматические обновления включены по умолчанию, но ручная проверка не помешает.
Эксперты по кибербезопасности напоминают: критические уязвимости в Android и собственные баги Samsung - это не теоретические угрозы. Злоумышленники активно ищут способы эксплуатации подобных дыр, особенно если код ошибки уже опубликован. Установка майского патча существенно снижает риск удалённого заражения, утечки персональных данных и потери контроля над устройством. Настоятельно рекомендуется обновиться всем пользователям затронутых моделей, особенно тем, кто хранит на смартфоне банковские приложения, корпоративные данные или важные документы.
