Ten Biuletyn bezpieczeństwa w Androidzie zawiera szczegółowe informacje o lukach w zabezpieczeniach, które mają wpływ na urządzenia z Androidem. Poziomy aktualizacji zabezpieczeń z 1 maja 2026 r. lub nowsze rozwiązują wszystkie te problemy. Aby dowiedzieć się, jak sprawdzić poziom aktualizacji zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
W ciągu 48 godzin od pierwszej publikacji tego biuletynu, udostępnimy odpowiednie poprawki kodu źródłowego w repozytorium Projekt Android Open Source (AOSP). Następnie zaktualizujemy ten biuletyn , dodając linki do AOSP.
Problem opisany w tym biuletynie to krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego (proximal/adjacent) wykonania kodu jako użytkownik powłoki bez dodatkowych uprawnień do wykonania. Do wykorzystania tej luki nie jest wymagana interakcja z użytkownikiem. Ocena ważności opiera się na wpływie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzenie, przy założeniu, że środki zaradcze platformy i usługi są wyłączone na potrzeby programowania lub zostały skutecznie pominięte.
Więcej informacji o zabezpieczeniach platformy Android i Google Play Protect, które zwiększają bezpieczeństwo platformy Android, znajdziesz w sekcji Środki zaradcze w Androidzie i Google Play Protect.
O wszystkich problemach informujemy naszych partnerów korzystających z Androida co najmniej miesiąc przed opublikowaniem biuletynu.
Środki zaradcze w Androidzie i usługach Google
To podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i usługi takie jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach w Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione dzięki ulepszeniom w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą Google Play Protect i ostrzega użytkowników przed potencjalnie szkodliwymi aplikacjami. Google Play Protect jest domyślnie włączony na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważny dla użytkowników, którzy instalują aplikacje spoza Google Play.
Szczegóły dotyczące luk w zabezpieczeniach na poziomie aktualizacji zabezpieczeń z 1 maja 2026 r.
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej luce w zabezpieczeniach, która dotyczy poziomu aktualizacji z 1 maja 2026 r. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej. Zawierają one identyfikator CVE, powiązane numery referencyjne, typ luki w zabezpieczeniach, poziom ważności, i zaktualizowane wersje AOSP (w stosownych przypadkach). W przypadku dostępności linkujemy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Jeśli kilka zmian dotyczy jednego błędu, dodatkowe odwołania są powiązane z numerami następującymi po identyfikatorze błędu. Urządzenia z Androidem 10 i nowszym mogą otrzymywać aktualizacje zabezpieczeń oraz Google Play aktualizacje systemowe.
System
Luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego (proximal/adjacent) wykonania kodu jako użytkownik powłoki bez dodatkowych uprawnień do wykonania. Do wykorzystania tej luki nie jest wymagana interakcja z użytkownikiem.
| CVE | Numer referencyjny | Typ | Poziom ważności | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2026-0073 | A-469080888 | RCE | Krytyczny | 14, 15, 16, 16-qpr2 |
Aktualizacje systemowe Google Play
Poniższe problemy są uwzględnione w komponentach projektu Mainline.
| Składnik podrzędny | CVE |
|---|---|
| adbd | CVE-2026-0073 |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą się pojawić po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane pod kątem tych problemów?
Aby dowiedzieć się, jak sprawdzić poziom aktualizacji zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
- Poziomy aktualizacji zabezpieczeń z 1 maja 2026 r. lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 1 maja 2026 r.
Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu aktualizacji na:
- [ro.build.version.security_patch]:[2026-05-01]
W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemowa Google Play będzie zawierać ciąg daty zgodny z poziomem aktualizacji zabezpieczeń z 1 maja 2026 r. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.
2. Dlaczego ten biuletyn zawiera 2 poziomy aktualizacji zabezpieczeń?
Ten biuletyn zawiera 2 poziomy aktualizacji zabezpieczeń, aby partnerzy korzystający z Androida mogli szybciej rozwiązać podzbiór luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z Androidem. Zachęcamy partnerów korzystających z Androida do rozwiązania wszystkich problemów opisanych w tym biuletynie i używania najnowszego poziomu aktualizacji zabezpieczeń.
- Urządzenia, które korzystają z poziomu aktualizacji zabezpieczeń z 1 maja 2026 r. muszą zawierać wszystkie problemy związane z tym poziomem aktualizacji zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach o zabezpieczeniach.
Zachęcamy partnerów do łączenia poprawek wszystkich problemów, które rozwiązują, w jedną aktualizację.
3. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów dotyczących luk w zabezpieczeniach odwołują się do klasyfikacji luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonanie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnienie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Co oznaczają wpisy w kolumnie Numer referencyjny?
Wpisy w kolumnie Numer referencyjny w tabeli szczegółów dotyczących luk w zabezpieczeniach mogą zawierać prefiks identyfikujący organizację, do której należy numer referencyjny.
| Prefiks | Odniesienie |
|---|---|
| A- | Identyfikator błędu Androida |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
| U- | Numer referencyjny UNISOC |
5. Co oznacza gwiazdka (*) obok identyfikatora błędu Androida w kolumnie Numer referencyjny ?
Problemy, które nie są dostępne publicznie, mają gwiazdkę obok odpowiedniego identyfikatora referencyjnego. Aktualizacja rozwiązująca ten problem jest zwykle zawarta w najnowszych sterownikach binarnych dla urządzeń Pixel dostępnych na stronie Google Developers.
6. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny o zabezpieczeniach urządzeń i partnerów, takie jak biuletyn Pixela?
Luki w zabezpieczeniach udokumentowane w tym biuletynie o zabezpieczeniach wymagają deklarowania najnowszego poziomu aktualizacji zabezpieczeń na urządzeniach z Androidem. Dodatkowe luki w zabezpieczeniach udokumentowane w biuletynach o zabezpieczeniach urządzeń i partnerów nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń. Producenci urządzeń z Androidem i chipsetów mogą też publikować szczegółowe informacje o lukach w zabezpieczeniach, które dotyczą ich produktów, np. Google, Huawei, LGE, Motorola, Nokia czy Samsung.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 4 maja 2026 r. | Biuletyn opublikowany |
| 1.1 | 7 maja 2026 r. | Dodano linki do AOSP |