В этом бюллетене по безопасности Android содержится подробная информация об уязвимостях безопасности, затрагивающих устройства Android. Исправления безопасности от 01.11.2025 и более поздние устраняют все эти проблемы. Чтобы узнать, как проверить версию исправления безопасности устройства, см. статью Проверка и обновление версии Android .
В течение 48 часов после публикации этого бюллетеня мы выпустим соответствующие исправления исходного кода в репозиторий Android Open Source Project (AOSP). После этого мы внесем изменения в этот бюллетень, добавив ссылки на AOSP.
Наиболее серьёзной из этих проблем является критическая уязвимость безопасности в компоненте «Система», которая может привести к удалённому выполнению кода без дополнительных привилегий. Для эксплуатации уязвимости не требуется взаимодействие с пользователем. Оценка серьёзности основана на возможном эффекте эксплуатации уязвимости на уязвимом устройстве, при условии, что средства защиты платформы и служб отключены для целей разработки или успешно обойдены.
Более подробную информацию о средствах защиты платформы Android и Google Play Protect, которые повышают безопасность платформы Android, см. в разделе «Средства защиты Android и Google Play Protect» .
Мы уведомляем наших Android-партнеров обо всех проблемах как минимум за месяц до публикации бюллетеня.
Смягчение последствий для Android и сервисов Google
Это краткий обзор мер защиты, предоставляемых платформой безопасности Android и сервисами, такими как Google Play Protect . Эти возможности снижают вероятность успешной эксплуатации уязвимостей безопасности Android.
- Эксплуатация многих уязвимостей Android затруднена из-за улучшений в новых версиях платформы. Мы рекомендуем всем пользователям по возможности обновить систему до последней версии Android.
- Команда по безопасности Android активно отслеживает злоупотребления через Google Play Protect и предупреждает пользователей о потенциально вредоносных приложениях . Google Play Protect по умолчанию включен на устройствах с Google Mobile Services и особенно важен для пользователей, которые устанавливают приложения не из Google Play.
Подробности уязвимости уровня исправления безопасности 2025-11-01
В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, относящейся к уровню исправления 2025-11-01. Уязвимости сгруппированы по компонентам, которые они затрагивают. Проблемы описаны в таблицах ниже и включают идентификатор CVE, связанные ссылки, тип уязвимости , уровень серьезности и обновленные версии AOSP (где применимо). При наличии мы связываем публичное изменение, устраняющее проблему, с идентификатором ошибки, как в списке изменений AOSP. Если несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки. Устройства с Android 10 и более поздними версиями могут получать обновления безопасности, а также системные обновления Google Play .
Система
Самая серьёзная уязвимость в этом разделе может привести к удалённому выполнению кода без необходимости дополнительных прав. Эксплуатация уязвимости не требует взаимодействия с пользователем.
| CVE | Ссылки | Тип | Серьезность | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2025-48593 | А-374746961 | РЦЭ | Критический | 13, 14, 15, 16 |
| CVE-2025-48581 | А-428945391 | EoP | Высокий | 16 |
Обновления системы Google Play
В этом месяце в обновлениях системы Google Play (Project Mainline) не было решено никаких проблем безопасности.
Распространенные вопросы и ответы
В этом разделе даны ответы на часто задаваемые вопросы, которые могут возникнуть после прочтения данного бюллетеня.
1. Как определить, обновлено ли мое устройство для устранения этих проблем?
Информацию о том, как проверить уровень исправления безопасности устройства, см. в разделе Проверка и обновление версии Android .
- Уровни исправлений безопасности 2025-11-01 и более поздние решают все проблемы, связанные с уровнем исправлений безопасности 2025-11-01.
Производители устройств, включающие эти обновления, должны установить уровень строки исправления следующим образом:
- [ro.build.version.security_patch]:[2025-11-01]
Для некоторых устройств на Android 10 и более поздних версиях дата обновления системы Google Play будет соответствовать уровню исправления безопасности 2025-11-01. Подробнее об установке обновлений безопасности см. в этой статье .
2. Почему в этом бюллетене предусмотрено два уровня исправлений безопасности?
В этом бюллетене представлены два уровня исправлений безопасности, что позволяет партнёрам Android быстрее устранять подмножество уязвимостей, схожих для всех устройств Android. Партнёрам Android рекомендуется исправить все проблемы, перечисленные в этом бюллетене, и использовать последний уровень исправлений безопасности.
- Устройства, использующие уровень исправления безопасности 2025-11-01, должны включать все проблемы, связанные с этим уровнем исправления безопасности, а также исправления всех проблем, о которых сообщалось в предыдущих бюллетенях безопасности.
Партнерам рекомендуется объединить исправления всех проблем, которые они решают, в одно обновление.
3. Что означают записи в столбце «Тип» ?
Записи в столбце «Тип» таблицы сведений об уязвимости ссылаются на классификацию уязвимости безопасности.
| Аббревиатура | Определение |
|---|---|
| РЦЭ | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ИДЕНТИФИКАТОР | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
4. Что означают записи в столбце «Ссылки» ?
Записи в столбце «Ссылки» таблицы сведений об уязвимостях могут содержать префикс, идентифицирующий организацию, к которой принадлежит ссылочное значение.
| Префикс | Ссылка |
|---|---|
| А- | Идентификатор ошибки Android |
| QC- | Референтный номер Qualcomm |
| М- | Референтный номер MediaTek |
| Н- | Референсный номер NVIDIA |
| Б- | Референтный номер Broadcom |
| U- | Референтный номер ЮНИСОК |
5. Что означает * рядом с идентификатором ошибки Android в столбце «Ссылки» ?
Проблемы, информация о которых не опубликована, отмечены символом * рядом с соответствующим идентификатором. Обновление для решения этой проблемы обычно содержится в последних бинарных драйверах для устройств Pixel, доступных на сайте разработчиков Google .
6. Почему уязвимости безопасности разделены между этим бюллетенем и бюллетенями по безопасности устройств/партнеров, такими как бюллетень Pixel?
Уязвимости безопасности, описанные в этом бюллетене безопасности, необходимы для объявления уровня обновления безопасности на устройствах Android. Дополнительные уязвимости безопасности, описанные в бюллетенях безопасности устройств/партнеров, не требуются для объявления уровня обновления безопасности. Производители устройств Android и чипсетов, например, Google , Huawei , LGE , Motorola , Nokia или Samsung , также могут публиковать сведения об уязвимостях безопасности, характерные для их продуктов.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 3 ноября 2025 г. | Бюллетень опубликован |