Бюллетень по безопасности Android содержит подробную информацию об уязвимостях безопасности, затрагивающих устройства Android. Исправления безопасности от 5 сентября 2025 г. и более поздние устраняют все эти проблемы. Чтобы узнать, как проверить версию исправления безопасности устройства, см. статью Проверка и обновление версии Android .
Партнеры Android уведомляются обо всех проблемах как минимум за месяц до публикации. Исправления исходного кода для этих проблем будут опубликованы в репозитории Android Open Source Project (AOSP) в течение следующих 48 часов. Мы обновим этот бюллетень, добавив ссылки на AOSP, как только они станут доступны.
Наиболее серьёзной из этих проблем является критическая уязвимость безопасности в компоненте «Система», которая может привести к удалённому (приближенному/смежному) выполнению кода без необходимости дополнительных привилегий. Для эксплуатации уязвимости не требуется взаимодействие с пользователем. Оценка серьёзности основана на возможном эффекте эксплуатации уязвимости на уязвимом устройстве, при условии, что средства защиты платформы и служб отключены для целей разработки или успешно обошли уязвимость.
Подробную информацию о средствах защиты платформы Android и Google Play Protect , которые повышают безопасность платформы Android, смотрите в разделе «Меры защиты Android и Google Play Protect».
Смягчение последствий для Android и сервисов Google
Это краткий обзор мер защиты, предоставляемых платформой безопасности Android и сервисами, такими как Google Play Protect . Эти возможности снижают вероятность успешной эксплуатации уязвимостей безопасности Android.
- Эксплуатация многих уязвимостей Android затруднена из-за улучшений в новых версиях платформы. Мы рекомендуем всем пользователям по возможности обновить систему до последней версии Android.
- Команда по безопасности Android активно отслеживает злоупотребления через Google Play Protect и предупреждает пользователей о потенциально вредоносных приложениях . Google Play Protect по умолчанию включен на устройствах с Google Mobile Services и особенно важен для пользователей, которые устанавливают приложения не из Google Play.
Подробности уязвимости уровня исправления безопасности 2025-09-01
В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, относящейся к уровню исправления 2025-09-01. Уязвимости сгруппированы по компонентам, которые они затрагивают. Проблемы описаны в таблицах ниже и включают идентификатор CVE, связанные ссылки, тип уязвимости , уровень серьезности и обновленные версии AOSP (где применимо). При наличии мы связываем публичное изменение, устраняющее проблему, с идентификатором ошибки, как в списке изменений AOSP. Если несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки. Устройства с Android 10 и более поздними версиями могут получать обновления безопасности, а также системные обновления Google Play .
Среда выполнения Android
Уязвимость в этом разделе может привести к локальному повышению привилегий без необходимости получения дополнительных прав на выполнение. Для эксплуатации уязвимости не требуется участия пользователя.
| CVE | Ссылки | Тип | Серьезность | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2025-48543 | А-421834866 | EoP | Высокий | 13, 14, 15, 16 |
Рамки
Самая серьёзная уязвимость в этом разделе может привести к локальному повышению привилегий без необходимости получения дополнительных прав на выполнение. Эксплуатация уязвимости не требует взаимодействия с пользователем.
| CVE | Ссылки | Тип | Серьезность | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2025-0089 | А-378505461 | EoP | Высокий | 13, 14, 15 |
| CVE-2025-32324 | А-406763872 | EoP | Высокий | 15, 16 |
| CVE-2025-32325 | А-402319736 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-32331 | А-404252173 | EoP | Высокий | 15, 16 |
| CVE-2025-32349 | А-408215749 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-32350 | А-404256832 | EoP | Высокий | 14, 15, 16 |
| CVE-2025-48522 | А-418773283 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-48528 | А-384727394 | EoP | Высокий | 15, 16 |
| CVE-2025-48540 | А-416734088 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-48546 | А-388029380 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-48548 | А-293603271 | EoP | Высокий | 13, 14, 15 |
| CVE-2025-48549 | А-325912429 | EoP | Высокий | 13, 14, 15 |
| CVE-2025-48552 | А-365975561 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-48553 | А-384514657 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-48556 | А-419014146 | EoP | Высокий | 15, 16 |
| CVE-2025-48558 | А-380885270 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-48563 | А-401545800 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-0076 | А-366403307 | ИДЕНТИФИКАТОР | Высокий | 13, 14, 15 |
| CVE-2025-32330 | А-389127608 | ИДЕНТИФИКАТОР | Высокий | 13, 14, 15 |
| CVE-2025-48529 | А-325030433 | ИДЕНТИФИКАТОР | Высокий | 13, 14, 15, 16 |
| CVE-2025-48537 | А-391894257 | ИДЕНТИФИКАТОР | Высокий | 13, 14, 15, 16 |
| CVE-2025-48545 | А-397438392 | ИДЕНТИФИКАТОР | Высокий | 13, 14, 15, 16 |
| CVE-2025-48561 | А-399120953 | ИДЕНТИФИКАТОР | Высокий | 13, 14, 15, 16 |
| CVE-2025-48562 | А-423815728 | ИДЕНТИФИКАТОР | Высокий | 13, 14, 15, 16 |
| CVE-2025-48538 | А-328182084 | DoS | Высокий | 13, 14, 15, 16 |
| CVE-2025-48542 | А-273501008 | DoS | Высокий | 13, 14, 15, 16 |
| CVE-2025-48550 | А-401256328 | DoS | Высокий | 13, 14, 15, 16 |
| CVE-2025-48554 | А-414603411 | DoS | Высокий | 13, 14, 15, 16 |
| CVE-2025-48559 | А-416491779 | DoS | Высокий | 13, 14, 15, 16 |
Система
Самая серьёзная уязвимость в этом разделе может привести к удалённому (приближенному/смежному) выполнению кода без необходимости дополнительных привилегий. Эксплуатация уязвимости не требует взаимодействия с пользователем.
| CVE | Ссылки | Тип | Серьезность | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2025-48539 | А-406785684 | РЦЭ | Критический | 15, 16 |
| CVE-2021-39810 | А-212610736 | EoP | Высокий | 13 |
| CVE-2023-24023 | А-255601934 | EoP | Высокий | 13, 14, 15 |
| CVE-2024-49714 | А-271962784 | EoP | Высокий | 13, 14 |
| CVE-2025-26454 | А-299928772 | EoP | Высокий | 13, 14, 15 |
| CVE-2025-26464 | А-392614489 | EoP | Высокий | 15 |
| CVE-2025-32321 | А-378902342 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-32323 | А-397216537 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-32326 | А-365739560 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-32327 | А-389681152 | EoP | Высокий | 14, 15 |
| CVE-2025-32333 | А-409780975 | EoP | Высокий | 14 |
| CVE-2025-32345 | А-409318132 | EoP | Высокий | 15, 16 |
| CVE-2025-32346 | А-337785563 | EoP | Высокий | 16 |
| CVE-2025-32347 | А-388528350 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-48523 | А-388032224 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-48526 | А-407764858 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-48531 | А-389681530 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-48532 | А-417194323 | EoP | Высокий | 16 |
| CVE-2025-48535 | А-353680402 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-48541 | А-411418366 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-48544 | А-415783046 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-48547 | А-419105158 | EoP | Высокий | 13, 14, 15, 16 |
| CVE-2025-48581 | А-428945391 | EoP | Высокий | 16 |
| CVE-2025-48527 | А-378088320 | ИДЕНТИФИКАТОР | Высокий | 13, 14, 15, 16 |
| CVE-2025-48551 | А-407991863 | ИДЕНТИФИКАТОР | Высокий | 13, 14, 15, 16 |
| CVE-2025-48560 | А-419110583 | ИДЕНТИФИКАТОР | Высокий | 15, 16 |
| CVE-2025-48524 | А-399885815 | DoS | Высокий | 13, 14, 15, 16 |
| CVE-2025-48534 | А-381419370 | DoS | Высокий | 13, 14, 15 |
Widevine DRM
Эта уязвимость затрагивает компоненты Widevine DRM. Более подробную информацию можно получить непосредственно на сайте Widevine DRM. Оценка серьёзности этой проблемы предоставлена непосредственно Widevine DRM.
| CVE | Ссылки | Серьезность | Подкомпонент |
|---|---|---|---|
| CVE-2025-32332 | А-319147124 * | Высокий | широколистная лоза |
Обновления системы Google Play
В компоненты Project Mainline включены следующие выпуски.
| Подкомпонент | CVE |
|---|---|
| ИСКУССТВО | CVE-2025-48543 |
| AppSearch | CVE-2025-26464 |
| Сотовая трансляция | CVE-2025-48534 |
| Интерфейс документов | CVE-2025-32323 |
| МедиаПровайдер | CVE-2025-32327, CVE-2025-48532, CVE-2025-48544 |
| Контроллер разрешений | CVE-2025-48547 |
| Wi-Fi | CVE-2025-48524 |
Подробности уязвимости уровня исправления безопасности 2025-09-05
В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, относящейся к уровню исправления 2025-09-05. Уязвимости сгруппированы по компонентам, которые они затрагивают. Проблемы описаны в таблицах ниже и включают идентификатор CVE, соответствующие ссылки, тип уязвимости , уровень серьёзности и обновлённые версии AOSP (где применимо). При наличии общедоступного изменения, устраняющего проблему, мы привязываем его к идентификатору ошибки, как в списке изменений AOSP. Если несколько изменений относятся к одной ошибке, дополнительные ссылки привязаны к номерам, следующим за идентификатором ошибки.
Ядро
Самая серьёзная уязвимость в этом разделе может привести к локальному повышению привилегий без необходимости получения дополнительных прав на выполнение. Эксплуатация уязвимости не требует взаимодействия с пользователем.| CVE | Ссылки | Тип | Серьезность | Подкомпонент |
|---|---|---|---|---|
| CVE-2025-21755 | А-396331793 Ядро Upstream [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] | EoP | Высокий | VMW VSOCK |
| CVE-2025-38352 | А-425282960 Ядро Upstream [ 2 ] | EoP | Высокий | Время |
| CVE-2025-021701 | А-392852041 Ядро Upstream [ 2 ] | EoP | Высокий | Сеть |
Компоненты руки
Эти уязвимости затрагивают компоненты Arm. Более подробную информацию можно получить непосредственно у Arm. Оценка серьёзности этих проблем предоставляется непосредственно Arm.
| CVE | Ссылки | Серьезность | Подкомпонент |
|---|---|---|---|
| CVE-2024-7881 | А-361573291 * | Высокий | Процессор |
| CVE-2025-1246 | А-402121892 * | Высокий | Мали |
| CVE-2025-3212 | А-421179224 * | Высокий | Мали |
Технологии воображения
Эти уязвимости затрагивают компоненты Imagination Technologies. Более подробную информацию о них можно получить непосредственно у Imagination Technologies. Оценка серьёзности этих проблем предоставлена непосредственно Imagination Technologies.
| CVE | Ссылки | Серьезность | Подкомпонент |
|---|---|---|---|
| CVE-2024-47898 | А-381272949 * | Высокий | PowerVR-GPU |
| CVE-2024-47899 | А-381279421 * | Высокий | PowerVR-GPU |
| CVE-2025-0467 | А-382313133 * | Высокий | PowerVR-GPU |
| CVE-2025-1706 | А-389976559 * | Высокий | PowerVR-GPU |
| CVE-2025-8109 | А-383851764 * | Высокий | PowerVR-GPU |
| CVE-2025-25179 | А-383186226 * | Высокий | PowerVR-GPU |
| CVE-2025-25180 | А-383348101 * | Высокий | PowerVR-GPU |
| CVE-2025-46707 | А-416682620 * | Высокий | PowerVR-GPU |
| CVE-2025-46708 | А-416527351 * | Высокий | PowerVR-GPU |
| CVE-2025-46710 | А-382329905 * | Высокий | PowerVR-GPU |
Компоненты MediaTek
Эти уязвимости затрагивают компоненты MediaTek. Более подробную информацию о них можно получить непосредственно у MediaTek. Оценка серьёзности этих проблем предоставляется непосредственно MediaTek.
| CVE | Ссылки | Серьезность | Подкомпонент |
|---|---|---|---|
| CVE-2025-20696 | А-421781778 М-ALPS09915215 * | Высокий | ДА |
| CVE-2025-20704 | А-429908205 М-МОЛИ01516959 * | Высокий | Модем |
| CVE-2025-20708 | А-429908202 М-МОЛИ01123853 * | Высокий | Модем |
| CVE-2025-20703 | А-429908203 М-МОЛИ01599794 * | Высокий | Модем |
Компоненты Qualcomm
Эти уязвимости затрагивают компоненты Qualcomm и более подробно описаны в соответствующем бюллетене безопасности Qualcomm или предупреждении безопасности. Оценка серьёзности этих проблем предоставляется непосредственно Qualcomm.
| CVE | Ссылки | Серьезность | Подкомпонент |
|---|---|---|---|
| CVE-2025-27042 | А-409047250 QC-CR#3935673 | Высокий | Видео |
| CVE-2025-27043 | А-409047487 QC-CR#3935643 | Высокий | Безопасность |
| CVE-2025-27056 | А-409047405 QC-CR#4005840 | Высокий | Ядро |
| CVE-2025-27057 | А-409047176 QC-CR#4009252 | Высокий | WLAN |
| CVE-2025-27061 | А-409047527 QC-CR#3947576 | Высокий | Видео |
Компоненты Qualcomm с закрытым исходным кодом
Эти уязвимости затрагивают компоненты Qualcomm с закрытым исходным кодом и более подробно описаны в соответствующем бюллетене безопасности Qualcomm или предупреждении безопасности. Оценка серьёзности этих проблем предоставляется непосредственно Qualcomm.
| CVE | Ссылки | Серьезность | Подкомпонент |
|---|---|---|---|
| CVE-2025-21450 | А-388047924 * | Критический | Компонент с закрытым исходным кодом |
| CVE-2025-21483 | А-400449682 * | Критический | Компонент с закрытым исходным кодом |
| CVE-2025-27034 | А-400449915 * | Критический | Компонент с закрытым исходным кодом |
| CVE-2025-21427 | А-388048130 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-21432 | А-388048399 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-21433 | А-388048557 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-21446 | А-388047809 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-21449 | А-388047515 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-21454 | А-394100848 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-21464 | А-394100533 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-21465 | А-394099456 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-21477 | А-394100233 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-21481 | А-400450230 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-21482 | А-400449894 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-21484 | А-400449949 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-21487 | А-400449501 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-21488 | А-400450092 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-27032 | А-400449519 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-27052 | А-409039825 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-27065 | А-415772924 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-27066 | А-415773002 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-27073 | А-415773576 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-47317 | А-421905408 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-47318 | А-421905743 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-47326 | А-421904339 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-47328 | А-421905306 * | Высокий | Компонент с закрытым исходным кодом |
| CVE-2025-47329 | А-421905175 * | Высокий | Компонент с закрытым исходным кодом |
Распространенные вопросы и ответы
В этом разделе даны ответы на часто задаваемые вопросы, которые могут возникнуть после прочтения данного бюллетеня.
1. Как определить, обновлено ли мое устройство для устранения этих проблем?
Информацию о том, как проверить уровень исправления безопасности устройства, см. в разделе Проверка и обновление версии Android .
- Уровни исправлений безопасности от 01.09.2025 или более поздние решают все проблемы, связанные с уровнем исправлений безопасности от 01.09.2025.
- Уровни исправлений безопасности от 05.09.2025 или более поздние решают все проблемы, связанные с уровнем исправления безопасности от 05.09.2025 и всеми предыдущими уровнями исправлений.
Производители устройств, включающие эти обновления, должны установить уровень строки исправления следующим образом:
- [ro.build.version.security_patch]:[2025-09-01]
- [ro.build.version.security_patch]:[2025-09-05]
Для некоторых устройств на Android 10 и более поздних версиях дата обновления системы Google Play будет соответствовать уровню исправления безопасности 2025-09-01. Подробнее об установке обновлений безопасности см. в этой статье .
2. Почему в этом бюллетене предусмотрено два уровня исправлений безопасности?
В этом бюллетене представлены два уровня исправлений безопасности, что позволяет партнёрам Android быстрее устранять подмножество уязвимостей, схожих для всех устройств Android. Партнёрам Android рекомендуется исправить все проблемы, перечисленные в этом бюллетене, и использовать последний уровень исправлений безопасности.
- Устройства, использующие уровень исправления безопасности 2025-09-01, должны включать все проблемы, связанные с этим уровнем исправления безопасности, а также исправления всех проблем, о которых сообщалось в предыдущих бюллетенях безопасности.
- Устройства, использующие уровень исправления безопасности от 05.09.2025 или более новый, должны включать все применимые исправления в этом (и предыдущих) бюллетенях безопасности.
Партнерам рекомендуется объединить исправления всех проблем, которые они решают, в одно обновление.
3. Что означают записи в столбце «Тип» ?
Записи в столбце «Тип» таблицы сведений об уязвимости ссылаются на классификацию уязвимости безопасности.
| Аббревиатура | Определение |
|---|---|
| РЦЭ | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ИДЕНТИФИКАТОР | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
4. Что означают записи в столбце «Ссылки» ?
Записи в столбце «Ссылки» таблицы сведений об уязвимостях могут содержать префикс, идентифицирующий организацию, к которой принадлежит ссылочное значение.
| Префикс | Ссылка |
|---|---|
| А- | Идентификатор ошибки Android |
| QC- | Референтный номер Qualcomm |
| М- | Референтный номер MediaTek |
| Н- | Референсный номер NVIDIA |
| Б- | Референтный номер Broadcom |
| U- | Референтный номер ЮНИСОК |
5. Что означает * рядом с идентификатором ошибки Android в столбце «Ссылки» ?
Проблемы, информация о которых не опубликована, отмечены символом * рядом с соответствующим идентификатором. Обновление для решения этой проблемы обычно содержится в последних бинарных драйверах для устройств Pixel, доступных на сайте разработчиков Google .
6. Почему уязвимости безопасности разделены между этим бюллетенем и бюллетенями по безопасности устройств/партнеров, такими как бюллетень Pixel?
Уязвимости безопасности, описанные в этом бюллетене безопасности, необходимы для объявления уровня обновления безопасности на устройствах Android. Дополнительные уязвимости безопасности, описанные в бюллетенях безопасности устройств/партнеров, не требуются для объявления уровня обновления безопасности. Производители устройств Android и чипсетов, например, Google , Huawei , LGE , Motorola , Nokia или Samsung , также могут публиковать сведения об уязвимостях безопасности, характерные для их продуктов.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 2 сентября 2025 г. | Бюллетень опубликован |