ב-Android Security Bulletin (עלון אבטחה של Android) מפורטים פרצות אבטחה שמשפיעות על מכשירי Android. רמות תיקוני האבטחה מ-2025-09-05 ואילך פותרות את כל הבעיות האלה. כדי ללמוד איך בודקים את רמת תיקון האבטחה במכשיר, אפשר לעיין במאמר בנושא בדיקה ועדכון של גרסת Android.
שותפים ל-Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. תיקונים של קוד המקור לבעיות האלה יפורסמו במאגר של פרויקט Android בקוד פתוח (AOSP) ב-48 השעות הקרובות. אנחנו נעדכן את ההודעה הזו עם הקישורים ל-AOSP כשהם יהיו זמינים.
הבעיה החמורה ביותר היא פרצת אבטחה קריטית ברכיב המערכת, שעלולה להוביל להרצת קוד מרחוק (בסמיכות או בקרבה) ללא צורך בהרשאות ביצוע נוספות. לא נדרשת אינטראקציה מצד המשתמש כדי לנצל את הפגיעות. הערכת חומרת הפגיעות מבוססת על ההשפעה האפשרית של ניצול הפגיעות על מכשיר מושפע, בהנחה שאמצעי ההגנה של הפלטפורמה והשירות מושבתים למטרות פיתוח או אם נעקפו בהצלחה.
בקטע אמצעי ההגנה של Android ו-Google Play Protect מפורטים אמצעי ההגנה של פלטפורמת האבטחה של Android ו-Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
אמצעי הגנה בשירותי Google וב-Android
זהו סיכום של אמצעי ההגנה שמסופקים על ידי פלטפורמת האבטחה של Android והגנות השירות, כמו Google Play Protect. היכולות האלה מפחיתות את הסיכוי שנקודות חולשה באבטחה ינוצלו לרעה ב-Android.
- שיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של הרבה בעיות ב-Android. מומלץ לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחרי התנהלות פוגעת באמצעות Google Play Protect, ומזהיר את המשתמשים מפני אפליקציות שעלולות להזיק. Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות אחרים ולא מ-Google Play.
2025-09-01 פרטים על פגיעות ברמת תיקון האבטחה
בקטעים הבאים מפורטות כל פגיעויות האבטחה שרלוונטיות לרמת התיקון 2025-09-01. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. בטבלאות הבאות מתוארות הבעיות, כולל מזהה CVE, הפניות משויכות, סוג נקודת החולשה, חומרת הבעיה וגרסאות AOSP מעודכנות (אם רלוונטי). אם יש שינוי ציבורי שפותר את הבעיה, אנחנו מקשרים אותו למזהה הבאג, כמו רשימת השינויים של AOSP. אם כמה שינויים קשורים לאותו באג, הפניות הנוספות מקושרות למספרים שאחרי מזהה הבאג. יכול להיות שמכשירים עם Android 10 ואילך יקבלו עדכוני אבטחה וגם עדכוני מערכת של Google Play.
סביבת זמן ריצה ל-Android (ART)
נקודת החולשה שמתוארת בקטע הזה עלולה להוביל להעלאת רמת ההרשאות באופן מקומי, בלי שיידרשו הרשאות הפעלה נוספות. לא נדרשת אינטראקציה של המשתמש כדי לנצל את הפגיעות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2025-48543 | A-421834866 | EoP | רחב | 13, 14, 15, 16 |
Framework
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות מקומית ללא צורך בהרשאות ביצוע נוספות. לא נדרשת אינטראקציה מצד המשתמש כדי לנצל את הפגיעות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2025-0089 | A-378505461 | EoP | רחב | 13, 14, 15 |
| CVE-2025-32324 | A-406763872 | EoP | רחב | 15, 16 |
| CVE-2025-32325 | A-402319736 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-32331 | A-404252173 | EoP | רחב | 15, 16 |
| CVE-2025-32349 | A-408215749 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-32350 | A-404256832 | EoP | רחב | 14, 15, 16 |
| CVE-2025-48522 | A-418773283 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48528 | A-384727394 | EoP | רחב | 15, 16 |
| CVE-2025-48540 | A-416734088 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48546 | A-388029380 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48548 | A-293603271 | EoP | רחב | 13, 14, 15 |
| CVE-2025-48549 | A-325912429 | EoP | רחב | 13, 14, 15 |
| CVE-2025-48552 | A-365975561 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48553 | A-384514657 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48556 | A-419014146 | EoP | רחב | 15, 16 |
| CVE-2025-48558 | A-380885270 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48563 | A-401545800 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-0076 | A-366403307 | מזהה | רחב | 13, 14, 15 |
| CVE-2025-32330 | A-389127608 | מזהה | רחב | 13, 14, 15 |
| CVE-2025-48529 | A-325030433 | מזהה | רחב | 13, 14, 15, 16 |
| CVE-2025-48537 | A-391894257 | מזהה | רחב | 13, 14, 15, 16 |
| CVE-2025-48545 | A-397438392 | מזהה | רחב | 13, 14, 15, 16 |
| CVE-2025-48561 | A-399120953 | מזהה | רחב | 13, 14, 15, 16 |
| CVE-2025-48562 | A-423815728 | מזהה | רחב | 13, 14, 15, 16 |
| CVE-2025-48538 | A-328182084 | DoS | רחב | 13, 14, 15, 16 |
| CVE-2025-48542 | A-273501008 | DoS | רחב | 13, 14, 15, 16 |
| CVE-2025-48550 | A-401256328 | DoS | רחב | 13, 14, 15, 16 |
| CVE-2025-48554 | A-414603411 | DoS | רחב | 13, 14, 15, 16 |
| CVE-2025-48559 | A-416491779 | DoS | רחב | 13, 14, 15, 16 |
מערכת
נקודת התורפה החמורה ביותר בקטע הזה עלולה להוביל להרצת קוד מרחוק (קרוב/סמוך) ללא צורך בהרשאות הרצה נוספות. לא נדרשת אינטראקציה מצד המשתמש כדי לנצל את הפגיעות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2025-48539 | A-406785684 | RCE | קריטית | 15, 16 |
| CVE-2021-39810 | A-212610736 | EoP | רחב | 13 |
| CVE-2023-24023 | A-255601934 | EoP | רחב | 13, 14, 15 |
| CVE-2024-49714 | A-271962784 | EoP | רחב | 13, 14 |
| CVE-2025-26454 | A-299928772 | EoP | רחב | 13, 14, 15 |
| CVE-2025-26464 | A-392614489 | EoP | רחב | 15 |
| CVE-2025-32321 | A-378902342 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-32323 | A-397216537 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-32326 | A-365739560 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-32327 | A-389681152 | EoP | רחב | 14, 15 |
| CVE-2025-32333 | A-409780975 | EoP | רחב | 14 |
| CVE-2025-32345 | A-409318132 | EoP | רחב | 15, 16 |
| CVE-2025-32346 | A-337785563 | EoP | רחב | 16 |
| CVE-2025-32347 | A-388528350 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48523 | A-388032224 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48526 | A-407764858 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48531 | A-389681530 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48532 | A-417194323 | EoP | רחב | 16 |
| CVE-2025-48535 | A-353680402 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48541 | A-411418366 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48544 | A-415783046 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48547 | A-419105158 | EoP | רחב | 13, 14, 15, 16 |
| CVE-2025-48581 | A-428945391 | EoP | רחב | 16 |
| CVE-2025-48527 | A-378088320 | מזהה | רחב | 13, 14, 15, 16 |
| CVE-2025-48551 | A-407991863 | מזהה | רחב | 13, 14, 15, 16 |
| CVE-2025-48560 | A-419110583 | מזהה | רחב | 15, 16 |
| CVE-2025-48524 | A-399885815 | DoS | רחב | 13, 14, 15, 16 |
| CVE-2025-48534 | A-381419370 | DoS | רחב | 13, 14, 15 |
Widevine DRM
נקודת החולשה באבטחה משפיעה על רכיבי Widevine DRM, ופרטים נוספים זמינים ישירות מ-Widevine DRM. הערכת חומרת הבעיה הזו מסופקת ישירות על ידי Widevine DRM.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2025-32332 |
A-319147124 * | רחב | widevine |
עדכוני מערכת של Google Play
הבעיות הבאות כלולות ברכיבים של Project Mainline.
| רכיב משנה | CVE |
|---|---|
| ART | CVE-2025-48543 |
| AppSearch | CVE-2025-26464 |
| שידור סלולרי | CVE-2025-48534 |
| ממשק המשתמש של Documents | CVE-2025-32323 |
| MediaProvider | CVE-2025-32327, CVE-2025-48532, CVE-2025-48544 |
| בקר הרשאות | CVE-2025-48547 |
| Wi-Fi | CVE-2025-48524 |
פרטים על פגיעות ברמת תיקון האבטחה 2025-09-05
בקטעים הבאים מפורטות כל נקודות החולשה באבטחה שרלוונטיות לרמת התיקון 2025-09-05. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. בטבלאות הבאות מתוארות הבעיות, כולל מזהה CVE, הפניות משויכות, סוג נקודת החולשה, חומרת הבעיה וגרסאות AOSP מעודכנות (אם רלוונטי). אם יש פתרון לבעיה, אנחנו מקשרים את השינוי הציבורי שפתר אותה למזהה הבאג, כמו רשימת השינויים ב-AOSP. אם כמה שינויים קשורים לאותו באג, הפניות הנוספות מקושרות למספרים אחרי מזהה הבאג.
בועה
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להעלאת רמת ההרשאות באופן מקומי, ללא צורך בהרשאות הפעלה נוספות. לא נדרשת אינטראקציה מצד המשתמש כדי לנצל את הפגיעות.| CVE | קובצי עזר | סוג | מידת החומרה | רכיב משנה |
|---|---|---|---|---|
| CVE-2025-21755 |
A-396331793
Upstream kernel [2] [3] [4] [5] [6] |
EoP | רחב | VMW VSOCK |
| CVE-2025-38352 | A-425282960
Upstream kernel [2] |
EoP | רחב | שעה |
| CVE-2025-021701 | A-392852041
Upstream kernel [2] |
EoP | רחב | נטו |
רכיבים של זרוע תותבת
נקודות החולשה האלה משפיעות על רכיבי Arm, ופרטים נוספים זמינים ישירות מ-Arm. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Arm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-7881 |
A-361573291 * | רחב | מעבד (CPU) |
| CVE-2025-1246 |
A-402121892 * | רחב | מאלי |
| CVE-2025-3212 |
A-421179224 * | רחב | מאלי |
Imagination Technologies
נקודות החולשה האלה משפיעות על רכיבים של Imagination Technologies, ופרטים נוספים זמינים ישירות מ-Imagination Technologies. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Imagination Technologies.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-47898 |
A-381272949 * | רחב | PowerVR-GPU |
| CVE-2024-47899 |
A-381279421 * | רחב | PowerVR-GPU |
| CVE-2025-0467 |
A-382313133 * | רחב | PowerVR-GPU |
| CVE-2025-1706 |
A-389976559 * | רחב | PowerVR-GPU |
| CVE-2025-8109 |
A-383851764 * | רחב | PowerVR-GPU |
| CVE-2025-25179 |
A-383186226 * | רחב | PowerVR-GPU |
| CVE-2025-25180 |
A-383348101 * | רחב | PowerVR-GPU |
| CVE-2025-46707 |
A-416682620 * | רחב | PowerVR-GPU |
| CVE-2025-46708 |
A-416527351 * | רחב | PowerVR-GPU |
| CVE-2025-46710 |
A-382329905 * | רחב | PowerVR-GPU |
רכיבי MediaTek
נקודות החולשה האלה משפיעות על רכיבי MediaTek, ופרטים נוספים זמינים ישירות מ-MediaTek. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי MediaTek.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2025-20696 |
A-421781778
M-ALPS09915215 * |
רחב | DA |
| CVE-2025-20704 |
A-429908205
M-MOLY01516959 * |
רחב | מודם |
| CVE-2025-20708 |
A-429908202
M-MOLY01123853 * |
רחב | מודם |
| CVE-2025-20703 |
A-429908203
M-MOLY01599794 * |
רחב | מודם |
רכיבי Qualcomm
נקודות החולשה האלה משפיעות על רכיבי Qualcomm, והן מתוארות בפירוט נוסף בעדכון האבטחה הדחוף או בהתראת האבטחה המתאימים של Qualcomm. חברת Qualcomm מספקת ישירות את הערכת חומרת הבעיות האלה.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2025-27042 |
A-409047250
QC-CR#3935673 |
רחב | וידאו |
| CVE-2025-27043 |
A-409047487
QC-CR#3935643 |
רחב | אבטחה |
| CVE-2025-27056 |
A-409047405
QC-CR#4005840 |
רחב | בועה |
| CVE-2025-27057 |
A-409047176
QC-CR#4009252 |
רחב | WLAN |
| CVE-2025-27061 |
A-409047527
QC-CR#3947576 |
רחב | וידאו |
רכיבים של Qualcomm עם מקור סגור
הפגיעויות האלה משפיעות על רכיבים של Qualcomm עם קוד סגור, והן מתוארות בפירוט נוסף בפרסום או באזהרת האבטחה המתאימים של Qualcomm. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2025-21450 |
A-388047924 * | קריטית | רכיב מקור סגור |
| CVE-2025-21483 |
A-400449682 * | קריטית | רכיב מקור סגור |
| CVE-2025-27034 |
A-400449915 * | קריטית | רכיב מקור סגור |
| CVE-2025-21427 |
A-388048130 * | רחב | רכיב מקור סגור |
| CVE-2025-21432 |
A-388048399 * | רחב | רכיב מקור סגור |
| CVE-2025-21433 |
A-388048557 * | רחב | רכיב מקור סגור |
| CVE-2025-21446 |
A-388047809 * | רחב | רכיב מקור סגור |
| CVE-2025-21449 |
A-388047515 * | רחב | רכיב מקור סגור |
| CVE-2025-21454 |
A-394100848 * | רחב | רכיב מקור סגור |
| CVE-2025-21464 |
A-394100533 * | רחב | רכיב מקור סגור |
| CVE-2025-21465 |
A-394099456 * | רחב | רכיב מקור סגור |
| CVE-2025-21477 |
A-394100233 * | רחב | רכיב מקור סגור |
| CVE-2025-21481 |
A-400450230 * | רחב | רכיב מקור סגור |
| CVE-2025-21482 |
A-400449894 * | רחב | רכיב מקור סגור |
| CVE-2025-21484 |
A-400449949 * | רחב | רכיב מקור סגור |
| CVE-2025-21487 |
A-400449501 * | רחב | רכיב מקור סגור |
| CVE-2025-21488 |
A-400450092 * | רחב | רכיב מקור סגור |
| CVE-2025-27032 |
A-400449519 * | רחב | רכיב מקור סגור |
| CVE-2025-27052 |
A-409039825 * | רחב | רכיב מקור סגור |
| CVE-2025-27065 |
A-415772924 * | רחב | רכיב מקור סגור |
| CVE-2025-27066 |
A-415773002 * | רחב | רכיב מקור סגור |
| CVE-2025-27073 |
A-415773576 * | רחב | רכיב מקור סגור |
| CVE-2025-47317 |
A-421905408 * | רחב | רכיב מקור סגור |
| CVE-2025-47318 |
A-421905743 * | רחב | רכיב מקור סגור |
| CVE-2025-47326 |
A-421904339 * | רחב | רכיב מקור סגור |
| CVE-2025-47328 |
A-421905306 * | רחב | רכיב מקור סגור |
| CVE-2025-47329 |
A-421905175 * | רחב | רכיב מקור סגור |
שאלות ותשובות נפוצות
בקטע הזה תמצאו תשובות לשאלות נפוצות שעשויות להתעורר אחרי קריאת העלון הזה.
1. איך אפשר לדעת אם המכשיר שלי עודכן כדי לפתור את הבעיות האלה?
כך בודקים איזו גרסה של Android מותקנת במכשיר ומעדכנים אותה
- רמות תיקון האבטחה מ-2025-09-01 ואילך מטפלות בכל הבעיות שמשויכות לרמת תיקון האבטחה מ-2025-09-01.
- רמות תיקון האבטחה מ-2025-09-05 ואילך מטפלות בכל הבעיות שקשורות לרמת תיקון האבטחה מ-2025-09-05 ולכל רמות התיקון הקודמות.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את הרמה של מחרוזת התיקון לערך הבא:
- [ro.build.version.security_patch]:[2025-09-01]
- [ro.build.version.security_patch]:[2025-09-05]
במכשירים מסוימים עם Android 10 ואילך, לעדכון מערכת Google Play יהיה מחרוזת תאריך שתואמת לרמה של תיקון האבטחה 2025-09-01. במאמר הזה מוסבר איך להתקין עדכוני אבטחה.
2. למה בפרסום הזה יש שתי רמות של תיקוני אבטחה?
במאמר הזה יש שתי רמות של תיקוני אבטחה, כדי ששותפי Android יוכלו לתקן במהירות רבה יותר קבוצת משנה של פגיעויות שדומות בכל מכשירי Android. אנחנו ממליצים לשותפי Android לפתור את כל הבעיות שמופיעות בעלון הזה ולהשתמש ברמת תיקון האבטחה העדכנית ביותר.
- מכשירים שמשתמשים ברמת תיקון האבטחה 2025-09-01 חייבים לכלול את כל הבעיות שמשויכות לרמת תיקון האבטחה הזו, וגם תיקונים לכל הבעיות שדווחו בפרסומים קודמים בנושא אבטחה.
- מכשירים שמשתמשים ברמת תיקון האבטחה 2025-09-05 או בגרסה חדשה יותר חייבים לכלול את כל התיקונים הרלוונטיים בפרסום הזה (ובפרסומים קודמים) בנושא אבטחה.
אנחנו ממליצים לשותפים לאגד את התיקונים לכל הבעיות שהם מטפלים בהן בעדכון אחד.
3. מה המשמעות של הערכים בעמודה Type (סוג)?
הערכים בעמודה סוג בטבלת פרטי נקודת החולשה מתייחסים לסיווג של נקודת החולשה באבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| EoP | העלאת רמת ההרשאה |
| מזהה | גילוי נאות לגבי מידע |
| DoS | מניעת שירות |
| לא רלוונטי | הסיווג לא זמין |
4. מה המשמעות של הערכים בעמודה הפניות?
רשומות בעמודה References בטבלת פרטי הפגיעות עשויות להכיל קידומת שמזהה את הארגון שאליו שייך ערך ההפניה.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה באג ב-Android |
| QC- | מספר סימוכין של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
5. מה המשמעות של הכוכבית (*) לצד מזהה הבאג ב-Android בעמודה References?
לבעיות שלא זמינות לציבור יש * ליד מזהה ההפניה המתאים. העדכון לבעיה הזו בדרך כלל כלול במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel שזמינים באתר Google Developers.
6. למה נקודות החולשה באבטחה מחולקות בין העלון הזה לבין עלוני אבטחה של מכשירים או שותפים, כמו עלון Pixel?
כדי להצהיר על רמת תיקון האבטחה העדכנית במכשירי Android, צריך לתקן את נקודות החולשה באבטחה שמתועדות בעדכון האבטחה הזה. לא נדרש לתקן נקודות חולשה נוספות באבטחה שמפורטות בעדכוני האבטחה של המכשיר או השותף כדי להצהיר על רמת תיקון אבטחה. יצרנים של מכשירי Android וערכות שבבים עשויים לפרסם גם פרטים על פגיעויות אבטחה שספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, Motorola, Nokia או Samsung.
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 2 בספטמבר 2025 | Bulletin published |