בחדשות האבטחה של Android יש פרטים על נקודות חולשה שמשפיעות על מכשירי Android. תיקוני אבטחה ברמה 2025-09-05 ואילך פותרים את כל הבעיות האלה. במאמר איך בודקים מהי גרסת ה-Android ומעדכנים אותה מוסבר איך לבדוק את רמת תיקוני האבטחה במכשיר.
שותפים ל-Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. תיקונים לקוד המקור של הבעיות האלה יפורסמו במאגר של פרויקט הקוד הפתוח של Android (AOSP) ב-48 השעות הקרובות. אנחנו נעדכן את ההודעה הזו עם הקישורים ל-AOSP כשהם יהיו זמינים.
הבעיה החמורה ביותר היא נקודת חולשה קריטית באבטחה ברכיב המערכת, שעלולה להוביל להרצת קוד מרחוק (קרוב/סמוך) ללא צורך בהרשאות ביצוע נוספות. לא נדרשת אינטראקציה מצד המשתמש כדי לנצל את הפגיעות. הערכת חומרת הפגיעות מבוססת על ההשפעה האפשרית של ניצול הפגיעות על מכשיר מושפע, בהנחה שאמצעי ההגנה של הפלטפורמה והשירות מושבתים למטרות פיתוח או אם נעקפו בהצלחה.
בקטע אמצעי ההגנה של Android ו-Google Play Protect מפורטים אמצעי ההגנה של פלטפורמת האבטחה של Android ו-Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
אמצעי הגנה בשירותי Google וב-Android
זהו סיכום של אמצעי ההגנה שמסופקים על ידי פלטפורמת האבטחה של Android והגנות השירות, כמו Google Play Protect. היכולות האלה מפחיתות את הסיכוי שנקודות חולשה באבטחה ינוצלו לרעה ב-Android.
- שיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של הרבה בעיות ב-Android. מומלץ לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחרי התנהלות פוגעת באמצעות Google Play Protect, ומזהיר משתמשים מפני אפליקציות שעלולות להזיק. Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות אחרים ולא מ-Google Play.
פרטים על נקודות חולשה ברמת תיקון האבטחה 2025-09-01
בקטעים הבאים מפורטות כל פגיעויות האבטחה שרלוונטיות לרמת התיקון 2025-09-01. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. הבעיות מתוארות בטבלאות שבהמשך, וכוללות את מזהה ה-CVE, הפניות למקורות חיצוניים, סוג נקודת החולשה, חומרת הבעיה ומספרי הגרסה המעודכנים של AOSP (אם רלוונטי). אם יש שינוי ציבורי שפותר את הבעיה, אנחנו מקשרים אותו למזהה הבאג, כמו רשימת השינויים של AOSP. אם כמה שינויים קשורים לאותו באג, הפניות הנוספות מקושרות למספרים אחרי מזהה הבאג. יכול להיות שמכשירים עם Android 10 ואילך יקבלו עדכוני אבטחה וגם עדכוני מערכת של Google Play.
סביבת זמן ריצה ל-Android (ART)
נקודת החולשה שמתוארת בקטע הזה עלולה להוביל להעלאת הרשאות מקומית, בלי שיידרשו הרשאות הפעלה נוספות. לא נדרשת אינטראקציה של המשתמש כדי לנצל את הפגיעות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2025-48543 | A-421834866 | EoP | רחב | 13, 14, 15, 16 |
Framework
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות מקומית ללא צורך בהרשאות ביצוע נוספות. לא נדרשת אינטראקציה מצד המשתמש כדי לנצל את הפגיעות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2025-0089 | A-378505461 [2] [3] | EoP | רחב | 13, 14, 15 |
| CVE-2025-32324 | A-406763872 | EoP | רחב | 15, 16 |
| CVE-2025-32325 | A-402319736 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-32331 | A-404252173 | EoP | רחב | 15, 16 |
| CVE-2025-32349 | A-408215749 [2] | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-32350 | A-404256832 | EoP | רחב | 14, 15, 16 |
| CVE-2025-48522 | A-418773283 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48528 | A-384727394 | EoP | רחב | 15, 16 |
| CVE-2025-48540 | A-416734088 [2] [3] | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48546 | A-388029380 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48548 | A-293603271 [2] [3] [4] [5] | EoP | רחב | 13, 14, 15 |
| CVE-2025-48549 | A-325912429 [2] [3] [4] [5] | EoP | רחב | 13, 14, 15 |
| CVE-2025-48552 | A-365975561 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48553 | A-384514657 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48556 | A-419014146 | EoP | רחב | 15, 16 |
| CVE-2025-48558 | A-380885270 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48563 | A-401545800 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-0076 | A-366403307 | מזהה | רחב | 13, 14, 15 |
| CVE-2025-32330 | A-389127608 | מזהה | רחב | 13, 14, 15 |
| CVE-2025-48529 | A-325030433 | מזהה | רחב | 13, 14, 15, 16 |
| CVE-2025-48537 | A-391894257 | מזהה | רחב | 13, 14, 15, 16 |
| CVE-2025-48545 | A-397438392 | מזהה | רחב | 13, 14, 15, 16 |
| CVE-2025-48561 | A-399120953 | מזהה | רחב | 13, 14, 15, 16 |
| CVE-2025-48562 | A-423815728 | מזהה | רחב | 13, 14, 15, 16 |
| CVE-2025-48538 | A-328182084 | DoS | רחב | 13, 14, 15, 16 |
| CVE-2025-48542 | A-273501008 | DoS | רחב | 13, 14, 15, 16 |
| CVE-2025-48550 | A-401256328 | DoS | רחב | 13, 14, 15, 16 |
| CVE-2025-48554 | A-414603411 | DoS | רחב | 13, 14, 15, 16 |
| CVE-2025-48559 | A-416491779 | DoS | רחב | 13, 14, 15, 16 |
מערכת
נקודת התורפה החמורה ביותר בקטע הזה עלולה להוביל להרצת קוד מרחוק (קרוב/סמוך) ללא צורך בהרשאות הרצה נוספות. לא נדרשת אינטראקציה מצד המשתמש כדי לנצל את הפגיעות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2025-48539 | A-406785684 | RCE | קריטית | 15, 16 |
| CVE-2021-39810 | A-212610736 | EoP | רחב | 13 |
| CVE-2023-24023 | A-255601934 | EoP | רחב | 13, 14, 15 |
| CVE-2024-49714 | A-271962784 | EoP | רחב | 13, 14 |
| CVE-2025-26454 | A-299928772 [2] | EoP | רחב | 13, 14, 15 |
| CVE-2025-26464 | A-392614489 | EoP | רחב | 15 |
| CVE-2025-32321 | A-378902342 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-32323 | A-397216537 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-32326 | A-365739560 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-32327 | A-389681152 | EoP | רחב | 14, 15 |
| CVE-2025-32333 | A-409780975 | EoP | רחב | 14 |
| CVE-2025-32345 | A-409318132 | EoP | רחב | 15, 16 |
| CVE-2025-32346 | A-337785563 | EoP | רחב | 16 |
| CVE-2025-32347 | A-388528350 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48523 | A-388032224 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48526 | A-407764858 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48531 | A-389681530 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48532 | A-417194323 | EoP | רחב | 16 |
| CVE-2025-48535 | A-353680402 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48541 | A-411418366 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48544 | A-415783046 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48547 | A-419105158 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48527 | A-378088320 | מזהה | רחב | 13, 14, 15, 16 |
| CVE-2025-48551 | A-407991863 | מזהה | רחב | 13, 14, 15, 16 |
| CVE-2025-48560 | A-419110583 | מזהה | רחב | 15, 16 |
| CVE-2025-48524 | A-399885815 | DoS | רחב | 13, 14, 15, 16 |
| CVE-2025-48534 | A-381419370 | DoS | רחב | 13, 14, 15 |
Widevine DRM
נקודת החולשה באבטחה משפיעה על רכיבי Widevine DRM, ופרטים נוספים זמינים ישירות מ-Widevine DRM. הערכת חומרת הבעיה הזו מסופקת ישירות על ידי Widevine DRM.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2025-32332 |
A-319147124 * | רחב | widevine |
עדכוני מערכת של Google Play
הבעיות הבאות כלולות ברכיבי Project Mainline.
| רכיב משנה | CVE |
|---|---|
| ART | CVE-2025-48543 |
| AppSearch | CVE-2025-26464 |
| שידור סלולרי | CVE-2025-48534 |
| ממשק המשתמש של Documents | CVE-2025-32323 |
| MediaProvider | CVE-2025-32327, CVE-2025-48532, CVE-2025-48544 |
| בקר הרשאות | CVE-2025-48547 |
| Wi-Fi | CVE-2025-48524 |
פרטים על נקודות חולשה ברמת תיקון האבטחה 2025-09-05
בקטעים הבאים מפורטות כל נקודות החולשה באבטחה שרלוונטיות לרמת התיקון 2025-09-05. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. הבעיות מתוארות בטבלאות שבהמשך, וכוללות את מזהה ה-CVE, הפניות למקורות חיצוניים, סוג נקודת החולשה, חומרת הבעיה ומספרי הגרסה המעודכנים של AOSP (אם רלוונטי). אם יש שינוי ציבורי שפותר את הבעיה, אנחנו מקשרים אותו למזהה הבאג, כמו רשימת השינויים ב-AOSP. אם כמה שינויים קשורים לאותו באג, הפניות הנוספות מקושרות למספרים אחרי מזהה הבאג.
בועה
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להעלאת רמת ההרשאות באופן מקומי, ללא צורך בהרשאות ביצוע נוספות. לא נדרשת אינטראקציה מצד המשתמש כדי לנצל את הפגיעות.
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב משנה |
|---|---|---|---|---|
| CVE-2025-21755 | A-396331793
Upstream kernel [2] [3] [4] [5] [6] |
EoP | רחב | VMW VSOCK |
| CVE-2025-38352 | A-425282960
Upstream kernel [2] |
EoP | רחב | שעה |
| CVE-2025-021701 | A-392852041
Upstream kernel [2] |
EoP | רחב | נטו |
רכיבים של זרוע תותבת
נקודות החולשה האלה משפיעות על רכיבי Arm, ופרטים נוספים זמינים ישירות מ-Arm. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Arm.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-7881 |
A-361573291 * | רחב | מעבד (CPU) |
| CVE-2025-1246 |
A-402121892 * | רחב | מאלי |
| CVE-2025-3212 |
A-421179224 * | רחב | מאלי |
Imagination Technologies
נקודות החולשה האלה משפיעות על רכיבים של Imagination Technologies, ופרטים נוספים זמינים ישירות מ-Imagination Technologies. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Imagination Technologies.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-47898 |
A-381272949 * | רחב | PowerVR-GPU |
| CVE-2024-47899 |
A-381279421 * | רחב | PowerVR-GPU |
| CVE-2025-0467 |
A-382313133 * | רחב | PowerVR-GPU |
| CVE-2025-1706 |
A-389976559 * | רחב | PowerVR-GPU |
| CVE-2025-8109 |
A-383851764 * | רחב | PowerVR-GPU |
| CVE-2025-25179 |
A-383186226 * | רחב | PowerVR-GPU |
| CVE-2025-25180 |
A-383348101 * | רחב | PowerVR-GPU |
| CVE-2025-46707 |
A-416682620 * | רחב | PowerVR-GPU |
| CVE-2025-46708 |
A-416527351 * | רחב | PowerVR-GPU |
| CVE-2025-46710 |
A-382329905 * | רחב | PowerVR-GPU |
רכיבים של MediaTek
נקודות החולשה האלה משפיעות על רכיבי MediaTek, ופרטים נוספים זמינים ישירות מ-MediaTek. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי MediaTek.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2025-20696 |
A-421781778
M-ALPS09915215 * |
רחב | DA |
| CVE-2025-20704 |
A-429908205
M-MOLY01516959 * |
רחב | מודם |
| CVE-2025-20708 |
A-429908202
M-MOLY01123853 * |
רחב | מודם |
| CVE-2025-20703 |
A-429908203
M-MOLY01599794 * |
רחב | מודם |
רכיבים של Qualcomm
נקודות החולשה האלה משפיעות על רכיבים של Qualcomm, והן מתוארות בפירוט נוסף בעדכון האבטחה או בהתראת האבטחה המתאימים של Qualcomm. חברת Qualcomm מספקת ישירות את הערכת חומרת הבעיות האלה.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2025-27042 |
A-409047250
QC-CR#3935673 |
רחב | וידאו |
| CVE-2025-27043 |
A-409047487
QC-CR#3935643 |
רחב | אבטחה |
| CVE-2025-27056 |
A-409047405
QC-CR#4005840 |
רחב | בועה |
| CVE-2025-27057 |
A-409047176
QC-CR#4009252 |
רחב | WLAN |
| CVE-2025-27061 |
A-409047527
QC-CR#3947576 |
רחב | וידאו |
רכיבים של Qualcomm שהקוד שלהם סגור
נקודות החולשה האלה משפיעות על רכיבים של Qualcomm שהקוד שלהם סגור, והן מתוארות בפירוט נוסף בחדשות האבטחה או בהתראת האבטחה המתאימות של Qualcomm. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2025-21450 |
A-388047924 * | קריטית | רכיב שהקוד שלו סגור |
| CVE-2025-21483 |
A-400449682 * | קריטית | רכיב שהקוד שלו סגור |
| CVE-2025-27034 |
A-400449915 * | קריטית | רכיב שהקוד שלו סגור |
| CVE-2025-21427 |
A-388048130 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-21432 |
A-388048399 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-21433 |
A-388048557 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-21446 |
A-388047809 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-21449 |
A-388047515 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-21454 |
A-394100848 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-21464 |
A-394100533 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-21465 |
A-394099456 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-21477 |
A-394100233 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-21481 |
A-400450230 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-21482 |
A-400449894 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-21484 |
A-400449949 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-21487 |
A-400449501 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-21488 |
A-400450092 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-27032 |
A-400449519 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-27052 |
A-409039825 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-27065 |
A-415772924 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-27066 |
A-415773002 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-27073 |
A-415773576 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-47317 |
A-421905408 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-47318 |
A-421905743 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-47326 |
A-421904339 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-47328 |
A-421905306 * | רחב | רכיב שהקוד שלו סגור |
| CVE-2025-47329 |
A-421905175 * | רחב | רכיב שהקוד שלו סגור |
תשובות לשאלות נפוצות
בקטע הזה תמצאו תשובות לשאלות נפוצות שיכולות לעלות אחרי קריאת הפרטים של העדכון הזה.
1. איך אפשר לבדוק אם המכשיר שלי קיבל את העדכון שפותר את הבעיות האלה?
במאמר איך בודקים ומעדכנים את גרסת ה-Android שמותקנת במכשיר מוסבר איך לבדוק את רמת תיקוני האבטחה במכשיר.
- תיקוני אבטחה מרמה 2025-09-01 ואילך פותרים את כל הבעיות שמשויכות להם.
- תיקוני אבטחה מרמה 2025-09-05 ואילך פותרים את כל הבעיות שמשויכות להם וגם את אלה שמשויכות לתיקונים קודמים.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את הרמה של מחרוזת התיקון לערך הבא:
- [ro.build.version.security_patch]:[2025-09-01]
- [ro.build.version.security_patch]:[2025-09-05]
במכשירים מסוימים עם Android בגרסה 10 ואילך, עדכון מערכת Google Play יכלול מחרוזת תאריך שתואמת לרמת תיקון האבטחה 2025-09-01. במאמר הזה מוסבר איך להתקין עדכוני אבטחה.
2. למה בחדשות האבטחה האלה יש שתי רמות של תיקוני אבטחה?
בחדשות האבטחה האלה יש שתי רמות של תיקוני אבטחה, כדי ששותפי Android יוכלו לתקן במהירות רבה יותר קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. אנחנו ממליצים לשותפי Android לתקן את כל הבעיות שמפורטות בתיקון הזה ולהשתמש בתיקוני האבטחה ברמה הכי עדכנית.
- מכשירים שמשתמשים בתיקוני אבטחה ברמה 2025-09-01 חייבים לכלול את כל הבעיות שמשויכות לרמת תיקוני האבטחה הזו, וגם תיקונים לכל הבעיות שדווחו בחדשות אבטחה קודמות.
- מכשירים שמשתמשים בתיקוני אבטחה ברמה 2025-09-05 או חדשה יותר חייבים לכלול את כל התיקונים הרלוונטיים בחדשות האבטחה האלה (ובקודמות).
אנחנו ממליצים לשותפים לאגד את התיקונים לכל הבעיות שהם מטפלים בהן בעדכון אחד.
3. מה המשמעות של הערכים בעמודה סוג?
הערכים בעמודה סוג בטבלת הפרטים של נקודות החולשה מתייחסים לסיווג שלהן.
| קיצור | ההגדרה |
|---|---|
| RCE | הרצת קוד מרחוק |
| EoP | רמת הרשאה גבוהה יותר |
| ID | חשיפת מידע |
| DoS | התקפת מניעת שירות |
| N/A | אין סיווג |
4. מה המשמעות של הערכים בעמודה הפניות למקורות חיצוניים?
מידע על הערכים בעמודה הפניות למקורות חיצוניים בטבלה של פרטי נקודות החולשה: יש מקרים שבהם יש לערך תחילית שמציינת לאיזה ארגון משויך מקור המידע החיצוני.
| תחילית | מקור המידע החיצוני |
|---|---|
| A- | מזהה באג ב-Android |
| QC- | מספר סימוכין של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
5. מה המשמעות של הכוכבית (*) לצד מזהה הבאג ב-Android בעמודה הפניות למקור חיצוני?
אם הנתונים על הבעיה לא פורסמו לציבור הרחב, יש סימן * לצד מזהה ההפניה המתאים. העדכון לבעיה הזו בדרך כלל כלול במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel, שזמינים באתר המפתחים של Google.
6. למה חלק מנקודות החולשה מפורטות כאן וחלק בחדשות האבטחה של מכשירים או שותפים, כמו החדשות האבטחה של Pixel?
כדי שנוכל להצהיר על תיקוני האבטחה ברמה הכי עדכנית למכשירי Android אנחנו חייבים לתעד בחדשות האבטחה האלה את נקודות החולשה הרלוונטיות. אין צורך לתעד שם נקודות חולשה נוספות בשביל זה. יצרנים של מכשירי Android וערכות שבבים עשויים לפרסם גם פרטים על פגיעויות אבטחה שספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, Motorola, Nokia או Samsung.
גרסאות
| הגרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 2 בספטמבר 2025 | עדכון האבטחה פורסם |
| 1.1 | 4 בספטמבר 2025 | הודעת האבטחה עודכנה ונוספו אליה קישורים ל-AOSP |
| 1.2 | 8 בספטמבר 2025 | רשימת הבעיות עודכנה |
| 1.3 | 8 בספטמבר 2025 | קישורי AOSP מעודכנים |