Biuletyn bezpieczeństwa w Androidzie – marzec 20255

Opublikowano 3 marca 2025 r.

Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które dotyczą urządzeń z Androidem. Wszystkie te problemy są rozwiązane w poziomach poprawek zabezpieczeń 2025-03-05 lub nowszych. Aby dowiedzieć się, jak sprawdzić poziom zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.

Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc przed publikacją. Poprawki kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP) i powiązane z tym biuletynie. To biuletyn zawiera również linki do poprawek spoza AOSP.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach w komponencie System, która może prowadzić do zdalnego uruchomienia kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Ocena wpływu jest oparta na efekcie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzeniu docelowym, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby rozwoju lub że zostały pomyślnie omijane.

Więcej informacji o środkach ochrony platformy Androida i Google Play Protect, które zwiększają bezpieczeństwo platformy Androida, znajdziesz w sekcji Środki zaradcze dotyczące Androida i Google Play Protect.

Środki zaradcze dotyczące usług Google i Androida

Oto podsumowanie środków zapobiegawczych oferowanych przez platformę zabezpieczeń Androida oraz zabezpieczenia usług, takie jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach mogą zostać wykorzystane na urządzeniach z Androidem.

  • Wykorzystanie wielu luk w Androidzie jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą Google Play Protect i ostrzega użytkowników o potencjalnie szkodliwych aplikacjach. Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google. Jest to szczególnie ważne dla użytkowników, którzy instalują aplikacje spoza Google Play.

Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń z 2025-03-01

W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2025-03-01. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej i zawierają identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z liczbami po identyfikatorze błędu. Urządzenia z Androidem 10 lub nowszym mogą otrzymywać aktualizacje zabezpieczeń, a także aktualizacje systemowe Google Play.

Platforma

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może prowadzić do lokalnego podwyższenia uprawnień z wymaganymi uprawnieniami do wykonywania poleceń przez użytkownika.

CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2024-0032 A-283962634 [2] EoP Wysoki 12, 12L, 13, 14
CVE-2024-43093 A-341680936 EoP Wysoki 12, 12L, 13, 14, 15
CVE-2025-0078 A-382775095 EoP Wysoki 12, 12L, 13, 14, 15
CVE-2025-0080 A-370958259 EoP Wysoki 15
CVE-2025-0087 A-333681693 EoP Wysoki 12, 12L, 13, 14, 15
CVE-2024-43090 A-331180422 ID Wysoki 12, 12L, 13, 14, 15
CVE-2025-0083 A-376259166 [2] ID Wysoki 12, 12L, 13, 14, 15
CVE-2025-0086 A-364269936 ID Wysoki 12, 12L, 13, 14, 15
CVE-2024-49740 A-308932906 [2] DoS Wysoki 12, 12L, 13, 14, 15

System

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może prowadzić do zdalnego uruchomienia kodu bez konieczności posiadania dodatkowych uprawnień do wykonania.

CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2025-0074 A-375408314 RCE Krytyczny 15
CVE-2025-0075 A-375407167 RCE Krytyczny 15
CVE-2025-0084 A-291281168 RCE Krytyczny 13, 14, 15
CVE-2025-22403 A-375409435 RCE Krytyczny 15
CVE-2025-22408 A-375397164 RCE Krytyczny 15
CVE-2025-22410 A-375397720 RCE Krytyczny 15
CVE-2025-22411 A-375398779 RCE Krytyczny 15
CVE-2025-22412 A-375404242 RCE Krytyczny 15
CVE-2025-22409 A-375397370 EoP Krytyczny 15
CVE-2025-0081 A-347735428 DoS Krytyczny 12, 12L, 13, 14, 15
CVE-2023-21125 A-228837201 EoP Wysoki 12, 12 L
CVE-2025-0079 A-345258562 EoP Wysoki 12, 12L, 13, 14, 15
CVE-2025-22404 A-375159480 EoP Wysoki 15
CVE-2025-22405 A-375159652 EoP Wysoki 15
CVE-2025-22406 A-375160214 EoP Wysoki 15
CVE-2024-49728 A-296915500 ID Wysoki 12, 12L, 13, 14, 15
CVE-2025-0082 A-376461551 [2] ID Wysoki 12, 12L, 13, 14, 15
CVE-2025-0092 A-289375038 ID Wysoki 12, 12L, 13, 14, 15
CVE-2025-0093 A-289811388 ID Wysoki 12, 12L, 13, 14, 15
CVE-2025-22407 A-375396810 ID Wysoki 15
CVE-2025-26417 A-304497167 ID Wysoki 12, 12L, 13, 14, 15

Aktualizacje systemowe Google Play

Komponenty projektu Mainline obejmują te problemy:

Składnik podrzędny CVE
Interfejs Dokumenty CVE-2024-43093

Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń z 2025-03-05

W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 5 marca 2025 r. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej. Zawierają one identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w odpowiednich przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.

Bąbelki

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może prowadzić do lokalnego podwyższenia uprawnień w rdzeniu bez konieczności uzyskania dodatkowych uprawnień do wykonania.

CVE Pliki referencyjne Typ Poziom Składnik podrzędny
CVE-2024-46852 A-363259128
Kernel upstream [2]
EoP Wysoki dma-buf
CVE-2024-50302 A-380395346
Kernel upstream [2]
ID Wysoki HID
CVE-2025-22413 A-373638114
Kernel upstream [2]
ID Wysoki KVM

Komponenty MediaTek

Te luki w zabezpieczeniach dotyczą komponentów MediaTek. Więcej informacji można uzyskać bezpośrednio od firmy MediaTek. Ocena powagi tych problemów jest dostarczana bezpośrednio przez MediaTek.

CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2025-20645 A-386732172
ALPS09475476 *
Wysoki KeyInstall
CVE-2025-20644 A-386727712
MOLY01525673 *
Wysoki Modem

Komponenty Qualcomm

Te luki w zabezpieczeniach dotyczą komponentów Qualcomm i są opisane bardziej szczegółowo w odpowiednim biuletynie lub alertu dotyczącym zabezpieczeń Qualcomm. Ocena stopnia ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024-49836 A-377312708
QC-CR#3875452
Wysoki Aparat
CVE-2024-49838 A-377312892
QC-CR#3897418
Wysoki WLAN
CVE-2024-53014 A-381898850
QC-CR#3879278
Wysoki Audio
CVE-2024-53024 A-381899455
QC-CR#3902182
Wysoki Wyświetlacz
CVE-2024-53027 A-381901669
QC-CR#3910626
Wysoki WLAN

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Te luki w zabezpieczeniach dotyczą komponentów Qualcomm ze zamkniętym kodem źródłowym i są opisane bardziej szczegółowo w odpowiednim biuletynie lub ostrzeżeniu dotyczącym zabezpieczeń Qualcomm. Ocena stopnia ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024-43051
A-364018031 * Wysoki Komponent zamkniętego źródła
CVE-2024-53011
A-381898780 * Wysoki Komponent zamkniętego źródła
CVE-2024-53025
A-381901187 * Wysoki Komponent zamkniętego źródła

Najczęstsze pytania i odpowiedzi

W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.

1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy zawiera poprawki dotyczące tych problemów?

Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.

  • Stany aktualizacji zabezpieczeń z poziomu 2025-03-01 lub nowszego rozwiązują wszystkie problemy związane ze stanem aktualizacji zabezpieczeń 2025-03-01.
  • Poziomy aktualizacji zabezpieczeń 2025-03-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń 2025-03-05 oraz ze wszystkimi poprzednimi poziomami aktualizacji.

Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawki na:

  • [ro.build.version.security_patch]:[2025-03-01]
  • [ro.build.version.security_patch]:[2025-03-05]

W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemu Google Play będzie miała ciąg znaków daty odpowiadający poziomowi poprawki zabezpieczeń z 03.03.2025. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.

2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?

W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mają możliwość szybszego naprawiania podzbioru luk w zabezpieczeniach, które występują na wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i do stosowania najnowszej poprawki zabezpieczeń.

  • Urządzenia korzystające z poziomu poprawki zabezpieczeń 2025-03-01 muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
  • Urządzenia z poziomem poprawki zabezpieczeń 2025-03-05 lub nowszym muszą zawierać wszystkie poprawki z tych (i wcześniejszych) biuletynów bezpieczeństwa.

Zachęcamy partnerów do łączenia poprawek dotyczących wszystkich problemów w jednym pakiecie.

3. Co oznaczają wpisy w kolumnie Typ?

Wpisy w kolumnie Typ w tabeli szczegółów podatności odnoszą się do klasyfikacji podatności na zagrożenia.

Skrót Definicja
RCE Zdalne wykonywanie kodu
EoP Podniesienie uprawnień
ID Ujawnianie informacji
DoS Atak typu DoS
Nie dotyczy Klasyfikacja niedostępna

4. Co oznaczają wpisy w kolumnie Odniesienia?

Wpisy w kolumnie Odwołania w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odwołania.

Prefiks Źródła wiedzy
A- Identyfikator błędu na Androidzie
QC- Numer referencyjny Qualcomm
M- Numer referencyjny MediaTek
N- Numer referencyjny NVIDIA
B- Numer referencyjny Broadcom
U- Numer referencyjny UNISOC

5. Co oznacza znak * obok identyfikatora błędu Androida w kolumnie Odniesienia?

Obok odpowiedniego identyfikatora referencyjnego problemów, które nie są dostępne publicznie, znajduje się znak *. Aktualizacja dotycząca tego problemu jest zwykle zawarta w najnowszych binarnych sterownikach urządzeń Pixel, które można pobrać na stronie Google Developer.

6. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny o zabezpieczeniach dotyczące urządzeń i partnerów, np. biuletyn o Pixelu?

Aby zadeklarować najnowszy poziom aktualizacji zabezpieczeń na urządzeniach z Androidem, należy uwzględnić luki w zabezpieczeniach opisane w tym biuletynie. Dodatkowe luki w zabezpieczeniach opisane w biuletynach bezpieczeństwa dotyczących urządzenia lub partnera nie są wymagane do zadeklarowania poziomu poprawki zabezpieczeń. Producenci urządzeń i układów scalonych z Androidem mogą też publikować informacje o lukach w zabezpieczeniach w swoich produktach, takich jak Google, Huawei, LGE, Motorola, NokiaSamsung.

Wersje

Wersja Data Uwagi
1,0 3 marca 2025 r. Biuletyn opublikowany