Biuletyn zabezpieczeń Androida zawiera informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Wszystkie te problemy są rozwiązane w poziomach poprawek zabezpieczeń z 2025-06-05 lub nowszych. Aby dowiedzieć się, jak sprawdzić poziom zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc przed publikacją. W ciągu najbliższych 48 godzin udostępnimy w repozytorium Projektu Android Open Source (AOSP) poprawki kodu źródłowego dotyczące tych problemów. Gdy będą dostępne, zaktualizujemy ten biuletyn, dodając linki do AOSP.
Najpoważniejszym z tych problemów jest luka w zabezpieczeniach w komponencie System, która może prowadzić do lokalnego podwyższenia uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonywania. Do wykorzystania exploitu wymagana jest interakcja użytkownika. Ocena stopnia ważności jest oparta na efekcie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzeniu docelowym, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Więcej informacji o środkach ochrony platformy Androida i Google Play Protect, które zwiększają bezpieczeństwo platformy Androida, znajdziesz w sekcji Środki zaradcze dotyczące Androida i Google Play Protect.
Środki zaradcze dotyczące usług Google i Androida
Oto podsumowanie zabezpieczeń oferowanych przez platformę bezpieczeństwa Androida oraz zabezpieczenia usług, takie jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach Androida zostaną wykorzystane.
- Wykorzystanie wielu luk w Androidzie jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą Google Play Protect i ostrzega użytkowników o potencjalnie szkodliwych aplikacjach. Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google. Jest to szczególnie ważne dla użytkowników, którzy instalują aplikacje spoza Google Play.
Szczegóły luki w poziomiem aktualizacji zabezpieczeń z 01.06.2025
W sekcjach poniżej znajdziesz szczegółowe informacje o każdym z lukbezpieczeństw, które dotyczą poziomu poprawek z 2025-06-01. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej i zawierają identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w odpowiednich przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z liczbami po identyfikatorze błędu. Urządzenia z Androidem 10 lub nowszym mogą otrzymywać aktualizacje zabezpieczeń, a także aktualizacje systemowe Google Play.
środowisko wykonawcze Androida
Usługa może zostać trwale odrzucona lokalnie bez dodatkowych uprawnień do wykonania. Eksploatacja nie wymaga interakcji użytkownika.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2025-26456 | A-391895923 [2] [3] | DoS | Wysoki | 14, 15 |
Framework
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może prowadzić do lokalnego podwyższenia uprawnień bez potrzeby uzyskania dodatkowych uprawnień do wykonywania. Wykorzystanie nie wymaga interakcji użytkownika.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2025-26450 | A-331730488 | EoP | Wysoki | 13, 14, 15 |
| CVE-2025-26452 | A-383080440 | EoP | Wysoki | 14, 15 |
| CVE-2025-26455 | A-301470262 | EoP | Wysoki | 13, 14, 15 |
| CVE-2025-26458 | A-388828203 | EoP | Wysoki | 13, 14, 15 |
| CVE-2025-26462 | A-386950836 | EoP | Wysoki | 13, 14, 15 |
| CVE-2025-32312 | A-373467684 | EoP | Wysoki | 13, 14, 15 |
| CVE-2025-26437 | A-370477460 | ID | Wysoki | 15 |
| CVE-2025-26448 | A-309407957 | ID | Wysoki | 13, 14, 15 |
| CVE-2025-26432 | A-386802855 | DoS | Wysoki | 15 |
| CVE-2025-26449 | A-387498139 | DoS | Wysoki | 13, 14, 15 |
| CVE-2025-26463 | A-303227969 | DoS | Wysoki | 13, 14, 15 |
System
Najpoważniejsza luka w tym rozdziale może prowadzić do lokalnego podwyższenia uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonania. Do wykorzystania exploitu wymagana jest interakcja użytkownika.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2025-26443 | A-368319929 | EoP | Wysoki | 13, 14, 15 |
| CVE-2025-26441 | A-367274727 | ID | Wysoki | 13, 14, 15 |
| CVE-2025-26445 | A-388828859 | ID | Wysoki | 13, 14, 15 |
| CVE-2025-26453 | A-395643490 | ID | Wysoki | 13, 14, 15 |
Aktualizacje systemowe Google Play
Komponenty projektu Mainline obejmują te problemy:
| Składnik podrzędny | CVE |
|---|---|
| ART | CVE-2025-26456 |
| Wi-Fi | CVE-2025-26445 |
Szczegóły luki w poziomie poprawek zabezpieczeń z 5 czerwca 2025 r.
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 5 czerwca 2025 r. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej i zawierają identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w odpowiednich przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z liczbami po identyfikatorze błędu.
Komponenty ramienia
Te luki w zabezpieczeniach dotyczą komponentów Arm. Więcej informacji można uzyskać bezpośrednio od firmy Arm. Ocenę powagi tych problemów zapewnia bezpośrednio firma Arm.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny | |
|---|---|---|---|---|
| CVE-2025-0073 |
A-391930942 * | Wysoki | Mali | |
| CVE-2025-0819 |
A-402115802 * | Wysoki | Mali |
Imagination Technologies
Te luki w zabezpieczeniach dotyczą komponentów Imagination Technologies. Więcej informacji można uzyskać bezpośrednio od Imagination Technologies. Ocena powagi tych problemów jest dostarczana bezpośrednio przez Imagination Technologies.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny | |
|---|---|---|---|---|
| CVE-2024-12576 |
A-384017663 * | Wysoki | PowerVR-GPU | |
| CVE-2024-12837 |
A-382309975 * | Wysoki | PowerVR-GPU | |
| CVE-2024-47893 |
A-388860393 * | Wysoki | PowerVR-GPU | |
| CVE-2025-0468 |
A-382558918 * | Wysoki | PowerVR-GPU | |
| CVE-2025-0478 |
A-382308394 * | Wysoki | PowerVR-GPU | |
| CVE-2025-0835 |
A-393393236 * | Wysoki | PowerVR-GPU | |
| CVE-2025-25178 |
A-395843768 * | Wysoki | PowerVR-GPU |
Komponenty Qualcomm
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm i są opisane bardziej szczegółowo w odpowiednim biuletynie lub alertu dotyczącym zabezpieczeń Qualcomm. Ocena stopnia ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny | |
|---|---|---|---|---|
| CVE-2025-21424 |
A-406236621
QC-CR#3989614 [2] [3] [4] [5] |
Wysoki | Bąbelki | |
| CVE-2025-21485 |
A-409047090
QC-CR#3947112 |
Wysoki | Bąbelki | |
| CVE-2025-21486 |
A-400449990
QC-CR#3986528 |
Wysoki | Bąbelki |
Komponenty Qualcomm oparte na zamkniętym kodzie źródłowym
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm ze zamkniętym kodem źródłowym i są opisane bardziej szczegółowo w odpowiednim biuletynie lub ostrzeżeniu dotyczącym zabezpieczeń Qualcomm. Ocena stopnia ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny | |
|---|---|---|---|---|
| CVE-2024-53010 |
A-381899437 * | Wysoki | Komponent zamkniętego źródła | |
| CVE-2024-53019 |
A-381899100 * | Wysoki | Komponent zamkniętego źródła | |
| CVE-2024-53020 |
A-381899262 * | Wysoki | Komponent zamkniętego źródła | |
| CVE-2024-53021 |
A-381899144 * | Wysoki | Komponent zamkniętego źródła | |
| CVE-2024-53026 |
A-381898142 * | Wysoki | Komponent zamkniętego źródła | |
| CVE-2025-27029 |
A-400450166 * | Wysoki | Komponent zamkniętego źródła |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy zawiera poprawki dotyczące tych problemów?
Aby dowiedzieć się, jak sprawdzić poziom zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
- Poziomy aktualizacji zabezpieczeń z 2025-06-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2025-06-01.
- Poziomy aktualizacji zabezpieczeń z 2025-06-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2025-06-05 i wszystkimi poprzednimi poziomami.
Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2025-06-01]
- [ro.build.version.security_patch]:[2025-06-05]
W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemu Google Play będzie miała ciąg znaków daty odpowiadający poziomowi poprawki zabezpieczeń 2025-06-01. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.
2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?
W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mają możliwość szybszego naprawiania podzbioru podobnych luk we wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i do stosowania najnowszej poprawki zabezpieczeń.
- Urządzenia korzystające z poziomu zabezpieczeń z 2025-06-01 muszą zawierać wszystkie problemy związane z tym poziomem zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
- Urządzenia z poziomem poprawki zabezpieczeń 2025-06-05 lub nowszym muszą zawierać wszystkie poprawki z tych (i wcześniejszych) biuletynów dotyczących zabezpieczeń.
Zachęcamy partnerów do łączenia poprawek dotyczących wszystkich problemów w jednym pakiecie.
3. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów podatności odnoszą się do klasyfikacji podatności na zagrożenia.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Co oznaczają wpisy w kolumnie Odniesienia?
Wpisy w kolumnie Odwołania w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odwołania.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
| U- | Numer referencyjny UNISOC |
5. Co oznacza znak * obok identyfikatora błędu Androida w kolumnie Odniesienia?
Obok odpowiedniego identyfikatora referencyjnego problemów, które nie są dostępne publicznie, znajduje się znak *. Aktualizacja dotycząca tego problemu jest zwykle zawarta w najnowszych binarnych sterownikach urządzeń Pixel, które można pobrać na stronie Google Developer.
6. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny dotyczące zabezpieczeń urządzeń i partnerów, takie jak biuletyn dotyczący Pixela?
Aby zadeklarować najnowszy poziom poprawek zabezpieczeń na urządzeniach z Androidem, należy uwzględnić luki w zabezpieczeniach opisane w tym biuletynie. Dodatkowe luki w zabezpieczeniach, które są udokumentowane w biuletynach bezpieczeństwa dotyczących urządzenia lub partnera, nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń. Producenci urządzeń i układów scalonych z Androidem mogą też publikować informacje o lukach w zabezpieczeniach w swoich produktach, takich jak Google, Huawei, LGE, Motorola, Nokia i Samsung.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 2 czerwca 2025 r. | Biuletyn opublikowany |
| 1,1 | 2 czerwca 2025 r. | Dodano linki do AOSP |