Google закрыла уязвимость нулевого дня в Android: июньский патч исправляет 124 проблемы безопасности

Google выпустила июньское обновление безопасности Android и закрыла уязвимость нулевого дня CVE-2025-48595. Компания указала, что для этой ошибки есть признаки ограниченной целевой эксплуатации.

Июньский выпуск закрывает 124 уязвимости в Android. Исправления разделены на два уровня патчей: 2026-06-01 и 2026-06-05. Второй уровень включает все исправления первого, а также дополнительные патчи для ядра, компонентов производителей чипов и закрытых модулей.

Главная уязвимость месяца — CVE-2025-48595. Она находится в компоненте Android Framework, то есть в одном из базовых слоев системы, через который приложения и сервисы работают с функциями ОС. Ошибка относится к повышению привилегий. В CVE-записи указано, что проблема связана с целочисленным переполнением и может привести к выполнению кода без дополнительных прав. Участие пользователя для эксплуатации не требуется.

CVE-2025-48595 отмечена как уязвимость высокой степени опасности и именно она получила пометку о возможной ограниченной эксплуатации. Публичных технических деталей атаки Google не раскрыла.

Под удар попадают устройства на Android 14, Android 15, Android 16 и Android 16 QPR2. В карточке CVE эти версии отмечены как затронутые. Более старые версии в записи не перечислены как уязвимые, но это не повод не обновляться. Старый Android часто не получает свежие исправления и остается с другими незакрытыми проблемами.

Кроме CVE-2025-48595, июньский бюллетень закрывает ошибки в Framework, System, Kernel, Google Play system updates, компонентах MediaTek, Unisoc, Qualcomm и Imagination Technologies. В списке есть уязвимости повышения привилегий, отказа в обслуживании, раскрытия информации и проблемы в закрытых компонентах производителей железа. Часть исправлений касается не всех устройств, а только моделей с конкретными чипами и драйверами.

Разделение на 2026-06-01 и 2026-06-05 нужно производителям смартфонов. Первый уровень закрывает общие проблемы Android, второй — полный набор исправлений за месяц, включая аппаратно-зависимые компоненты. Поэтому два телефона разных брендов могут получить патчи в разные сроки, даже если оба работают на одной версии Android.

Pixel обычно получает такие обновления быстрее остальных. У Samsung, Xiaomi, OnePlus, Oppo, Vivo, Motorola и других производителей сроки зависят от модели, региона, оператора и политики поддержки. Это старая проблема экосистемы Android: Google публикует исправления, но конечная доставка до конкретного устройства остается за производителем.

Google также напоминает о Google Play Protect. Этот механизм включен по умолчанию на устройствах с Google Mobile Services и особенно важен для пользователей, которые ставят приложения не из Google Play. Но Play Protect не заменяет системный патч. Он может снизить риск вредоносных приложений, но не закрывает уязвимость в системном компоненте.

Проверить обновление можно в настройках: «Система» → «Обновление системы» или «Безопасность и конфиденциальность» → «Обновление системы безопасности». Названия пунктов зависят от производителя. Цель простая: установить июньский патч и проверить, что уровень исправлений безопасности — 2026-06-05 или новее.