Biuletyn bezpieczeństwa Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które mają wpływ na urządzenia z Androidem. Poziomy poprawek zabezpieczeń z 5 kwietnia 2025 r. lub nowsze rozwiązują wszystkie te problemy. Aby dowiedzieć się, jak sprawdzić poziom aktualizacji zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc przed publikacją. Poprawki kodu źródłowego dotyczące tych problemów zostaną udostępnione w repozytorium Projektu Android Open Source (AOSP) w ciągu najbliższych 48 godzin. Gdy linki do AOSP będą dostępne, zaktualizujemy ten biuletyn.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego podniesienia uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonywania kodu. Do wykorzystania luki nie jest potrzebna interakcja użytkownika. Ocena poziomu ważności opiera się na wpływie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzenie, którego dotyczy problem. Zakładamy, że środki zaradcze platformy i usługi są wyłączone na potrzeby programowania lub zostały skutecznie pominięte.
Więcej informacji o zabezpieczeniach platformy Android i Google Play Protect, które zwiększają bezpieczeństwo platformy Android, znajdziesz w sekcji Środki zaradcze w Androidzie i Google Play Protect.
Środki zaradcze w usługach Androida i Google
To podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i usługi chroniące, takie jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo wykorzystania luk w zabezpieczeniach Androida.
- Wykorzystanie wielu problemów na Androidzie jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, jeśli jest to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą Google Play Protect i ostrzega użytkowników przed potencjalnie szkodliwymi aplikacjami. Usługa Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play.
Szczegóły luki w zabezpieczeniach na poziomie aktualizacji zabezpieczeń z 1 kwietnia 2025 r.
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej luce w zabezpieczeniach, która dotyczy poziomu poprawek z 1 kwietnia 2025 r. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej i zawierają identyfikator CVE, powiązane odniesienia, rodzaj luki w zabezpieczeniach, poziom ważności oraz zaktualizowane wersje AOSP (w stosownych przypadkach). W przypadku dostępności linkujemy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Jeśli kilka zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu. Urządzenia z Androidem 10 i nowszym mogą otrzymywać aktualizacje zabezpieczeń oraz aktualizacje systemowe Google Play.
Framework
Najpoważniejsza luka w tej sekcji może prowadzić do lokalnego podniesienia uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonywania kodu. Wykorzystanie luki nie wymaga interakcji użytkownika.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2025-22429 | A-373357090 | ID | Krytyczny | 13, 14, 15 |
| CVE-2025-22416 | A-277207798 | EoP | Wysoki | 13, 14, 15 |
| CVE-2025-22417 | A-332277530 | EoP | Wysoki | 14, 15 |
| CVE-2025-22422 | A-339532378 [2] | EoP | Wysoki | 13, 14, 15 |
| CVE-2025-22434 | A-378900798 | EoP | Wysoki | 14, 15 |
| CVE-2025-22437 | A-317203980 | EoP | Wysoki | 13 |
| CVE-2025-22438 | A-343129193 | EoP | Wysoki | 13, 14 |
| CVE-2025-22442 | A-382064697 | EoP | Wysoki | 13, 14, 15 |
| CVE-2024-49722 | A-341688848 [2] | ID | Wysoki | 15 |
| CVE-2025-22421 | A-338024220 | ID | Wysoki | 13, 14, 15 |
| CVE-2025-22430 | A-374257207 | ID | Wysoki | 15 |
| CVE-2025-22431 | A-375623125 | DoS | Wysoki | 13, 14, 15 |
System
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może prowadzić do zdalnego podniesienia uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonywania działań. Wykorzystanie luki nie wymaga interakcji użytkownika.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2025-26416 | A-388480622 | EoP | Krytyczny | 13, 14, 15 |
| CVE-2025-22423 | A-346797131 | DoS | Krytyczny | 13, 14, 15 |
| CVE-2024-40653 | A-293458004 [2] [3] | EoP | Wysoki | 13, 14, 15 |
| CVE-2024-49720 | A-355411348 | EoP | Wysoki | 13, 14, 15 |
| CVE-2024-49730 | A-284989074 | EoP | Wysoki | 13, 14 |
| CVE-2025-22418 | A-333344157 | EoP | Wysoki | 13, 14 |
| CVE-2025-22419 | A-335387175 | EoP | Wysoki | 13, 14, 15 |
| CVE-2025-22427 | A-368579654 | EoP | Wysoki | 13, 14, 15 |
| CVE-2025-22428 | A-372671447 | EoP | Wysoki | 13, 14, 15 |
| CVE-2025-22433 | A-376674080 [2] | EoP | Wysoki | 13, 14, 15 |
| CVE-2025-22435 | A-273995284 | EoP | Wysoki | 13, 14, 15 |
| CVE-2025-22439 | A-352294617 | EoP | Wysoki | 13, 14, 15 |
| CVE-2024-49728 | A-296915500 | ID | Wysoki | 13, 14, 15 |
Aktualizacje systemowe Google Play
Komponenty Project Mainline obejmują te problemy:
| Składnik podrzędny | CVE |
|---|---|
| Interfejs Dokumentów | CVE-2025-22439 |
| MediaProvider | CVE-2024-49730 |
| Kontroler uprawnień | CVE-2024-49720 |
Szczegóły luki w zabezpieczeniach na poziomie aktualizacji zabezpieczeń z 5 kwietnia 2025 r.
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej luce w zabezpieczeniach, która dotyczy poziomu poprawek z 5 kwietnia 2025 r. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej i zawierają identyfikator CVE, powiązane odniesienia, rodzaj luki w zabezpieczeniach, poziom ważności oraz zaktualizowane wersje AOSP (w stosownych przypadkach). W przypadku dostępności linkujemy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Jeśli kilka zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
Bąbelki
Najpoważniejsza luka w tej sekcji może prowadzić do lokalnego podniesienia uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonywania kodu. Wykorzystanie luki nie wymaga interakcji użytkownika.
| CVE | Pliki referencyjne | Typ | Poziom | Składnik podrzędny |
|---|---|---|---|---|
| CVE-2024-50264 | A-378870958
Jądro upstream |
EoP | Wysoki | Netto |
| CVE-2024-53197 | A-382243530
Upstream kernel [2] |
EoP | Wysoki | USB |
| CVE-2024-56556 | A-380855429
Upstream kernel [2] |
EoP | Wysoki | Segregator |
| CVE-2024-53150 | A-382239029
Upstream kernel [2] |
ID | Wysoki | USB |
Komponenty ramienia
Ta luka w zabezpieczeniach dotyczy komponentów Arm, a więcej szczegółów można uzyskać bezpośrednio od firmy Arm. Ocena wagi tego problemu jest podawana bezpośrednio przez firmę Arm.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2025-0050 |
A-384996147 * | Wysoki | Mali |
Imagination Technologies
Te luki w zabezpieczeniach dotyczą komponentów Imagination Technologies. Więcej informacji można uzyskać bezpośrednio od tej firmy. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Imagination Technologies.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2024-43702 |
A-363071287 * | Wysoki | PowerVR-GPU |
| CVE-2024-43703 |
A-366410795 * | Wysoki | PowerVR-GPU |
| CVE-2024-46972 |
A-374964509 * | Wysoki | PowerVR-GPU |
| CVE-2024-47897 |
A-381272263 * | Wysoki | PowerVR-GPU |
| CVE-2024-52936 |
A-380302155 * | Wysoki | PowerVR-GPU |
| CVE-2024-52937 |
A-381273105 * | Wysoki | PowerVR-GPU |
| CVE-2024-52938 |
A-380397760 * | Wysoki | PowerVR-GPU |
| CVE-2024-47894 |
A-382770071 * | Wysoki | PowerVR-GPU |
| CVE-2024-47895 |
A-380296167 * | Wysoki | PowerVR-GPU |
Komponenty MediaTek
Te luki w zabezpieczeniach dotyczą komponentów MediaTek, a więcej szczegółów można uzyskać bezpośrednio od firmy MediaTek. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę MediaTek.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2025-20656 |
A-393950961
M-ALPS09625423 * |
Wysoki | DA |
| CVE-2025-20657 |
A-393950963
M-ALPS09486425 * |
Wysoki | vdec |
| CVE-2025-20658 |
A-393950964
M-ALPS09474894 * |
Wysoki | DA |
| CVE-2025-20655 |
A-393950958
M-DTV04427687 * |
Wysoki | Keymaster |
Komponenty Qualcomm
Te luki w zabezpieczeniach dotyczą komponentów firmy Qualcomm i są szczegółowo opisane w odpowiednim biuletynie bezpieczeństwa lub alercie dotyczącym bezpieczeństwa firmy Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2024-43066 |
A-372003347
QC-CR#3731804 |
Wysoki | Program rozruchowy |
| CVE-2024-49848 |
A-388048362
QC-CR#3908517 |
Wysoki | Bąbelki |
| CVE-2025-21429 |
A-388048166
QC-CR#3960857 [2] |
Wysoki | WLAN |
| CVE-2025-21430 |
A-388047866
QC-CR#3910625 [2] |
Wysoki | WLAN |
| CVE-2025-21434 |
A-388048345
QC-CR#3918068 |
Wysoki | WLAN |
| CVE-2025-21435 |
A-388047607
QC-CR#3924648 |
Wysoki | WLAN |
| CVE-2025-21436 |
A-388048322
QC-CR#3927062 |
Wysoki | Bąbelki |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są szczegółowo opisane w odpowiednim biuletynie lub alercie dotyczącym bezpieczeństwa firmy Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2024-45551 |
A-372002538 * | Krytyczny | Komponent o zamkniętym kodzie źródłowym |
| CVE-2024-33058 |
A-372002796 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2024-43065 |
A-372003122 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2024-45549 |
A-372002818 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2024-45552 |
A-372003503 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2025-21448 |
A-388048021 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą się pojawić po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Aby dowiedzieć się, jak sprawdzić poziom aktualizacji zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
- Poziomy aktualizacji zabezpieczeń z 1 kwietnia 2025 r. lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 1 kwietnia 2025 r.
- Poziomy aktualizacji zabezpieczeń z 5 kwietnia 2025 r. lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 5 kwietnia 2025 r. i wszystkimi poprzednimi poziomami aktualizacji.
Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu znaków patch na:
- [ro.build.version.security_patch]:[2025-04-01]
- [ro.build.version.security_patch]:[2025-04-05]
W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemowa Google Play będzie miała ciąg daty zgodny ze stanem aktualizacji zabezpieczeń z 1 kwietnia 2025 r. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.
2. Dlaczego ten biuletyn zawiera 2 poziomy aktualizacji zabezpieczeń?
Ten biuletyn zawiera 2 poziomy aktualizacji zabezpieczeń, dzięki czemu partnerzy Androida mogą szybciej naprawiać podzbiór luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z Androidem. Zachęcamy partnerów Androida do rozwiązania wszystkich problemów opisanych w tym biuletynie i korzystania z najnowszej wersji poprawki zabezpieczeń.
- Urządzenia, które korzystają z poziomu aktualizacji zabezpieczeń z 1 kwietnia 2025 r., muszą zawierać wszystkie problemy związane z tym poziomem aktualizacji zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.
- Urządzenia, które korzystają z poziomu poprawki zabezpieczeń z 5 kwietnia 2025 r. lub nowszego, muszą zawierać wszystkie odpowiednie poprawki z tego (i poprzednich) biuletynów zabezpieczeń.
Zachęcamy partnerów do łączenia poprawek wszystkich problemów, które rozwiązują, w jednej aktualizacji.
3. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów dotyczących luki w zabezpieczeniach odnoszą się do klasyfikacji luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonanie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Co oznaczają wpisy w kolumnie Odwołania?
Wpisy w kolumnie Odwołania w tabeli szczegółów dotyczących luki w zabezpieczeniach mogą zawierać prefiks identyfikujący organizację, do której należy wartość odwołania.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu Androida |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
| U- | Numer referencyjny UNISOC |
5. Co oznacza gwiazdka (*) obok identyfikatora błędu Androida w kolumnie Odwołania?
Problemy, które nie są publicznie dostępne, mają obok odpowiedniego identyfikatora odniesienia gwiazdkę (*). Aktualizacja rozwiązująca ten problem jest zwykle zawarta w najnowszych sterownikach binarnych dla urządzeń Pixel dostępnych na stronie Google dla deweloperów.
6. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny dotyczące zabezpieczeń urządzeń lub partnerów, takie jak biuletyn Pixela?
Luki w zabezpieczeniach udokumentowane w tym biuletynie zabezpieczeń są wymagane do zadeklarowania najnowszego poziomu poprawek zabezpieczeń na urządzeniach z Androidem. Dodatkowe luki w zabezpieczeniach, które są udokumentowane w biuletynach bezpieczeństwa urządzenia lub partnera, nie są wymagane do deklarowania stanu aktualizacji zabezpieczeń. Producenci urządzeń z Androidem i chipsetów mogą też publikować szczegóły dotyczące luk w zabezpieczeniach swoich produktów, np. Google, Huawei, LGE, Motorola, Nokia lub Samsung.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 7 kwietnia 2025 r. | Biuletyn opublikowany |
| 1,1 | 8 kwietnia 2025 r. | Dodano linki do AOSP |
| 1,2 | 22 kwietnia 2025 r. | Zaktualizowana tabela CVE |