Google выпустила первое в 2026 году критическое обновление безопасности для операционной системы Android. Январский патч был необычно компактным и предназначался для устранения всего одной, но чрезвычайно опасной уязвимости, которая могла позволить хакерам захватить контроль над устройством без ведома пользователя.

Проблема, получившая идентификатор CVE-2025-54957, была обнаружена в аудиодекодере Dolby Digital Plus (DD+) Unified Decoder — компоненте, используемом на миллионах устройств по всему миру. Исследователи Google выявили уязвимость еще в июне 2025 года и уведомили о ней компанию Dolby.

Изначально проблема классифицировалась как средняя, однако дальнейший анализ показал ее катастрофический потенциал для Android. В отличие от других платформ, где эксплуатация дыры могла привести лишь к сбою или перезагрузке, в среде Android она эволюционировала в полноценную zero-click RCE-атаку (удаленное выполнение кода без каких-либо действий со стороны жертвы). Это стало возможным из-за архитектурной особенности ОС: голосовые сообщения и аудиовложения обрабатываются локально, а не на серверах. Таким образом, для взлома было достаточно отправить на устройство специально сформированный аудиофайл.

Именно из-за этой особенности Google присвоила уязвимости критический уровень опасности для Android. Обновление, закрывающее дыру, для флагманских смартфонов Pixel было выпущено еще в декабре 2025 года. Январский патч распространил защиту на всю экосистему Android. Примечательно, что других исправлений в этом выпуске не было — ни для Pixel, ни для Android Automotive OS, ни для Wear OS.

Ранее сообщалось, что Google заберет у российских интернет-провайдеров устаревшие кеширующие серверы.