三星修复 Android 攻击中利用的关键零日漏洞 CVE-2025-21043
三星发布 2025 年 9 月安全更新(SMR Sep-2025 Release 1),修复了被零日攻击利用的高危漏洞 CVE-2025-21043(CVSS 8.8)。该漏洞存在于 Quramsoft 开发的图像解析库 libimagecodec.quram.so 中,涉及越界写入,可导致远程任意代码执行,影响 Android 13 至 16。漏洞于 8 月 13 日被私下披露,三星确认已在野外遭到利用,但未公布攻击细节。此前,谷歌也修复了两项已被利用的 Android 漏洞。
三星已发布针对 Android 的每月安全更新,其中包括修复据称在零日攻击中被利用的安全漏洞。
该漏洞CVE-2025-21043(CVSS 评分:8.8)涉及越界写入,可能导致任意代码执行。
三星在一份安全公告中表示: “SMR Sep-2025 Release 1 之前的版本中,libimagecodec.quram.so 中的越界写入漏洞允许远程攻击者执行任意代码。该补丁修复了这一错误实现。”
根据Google Project Zero 2020年的一份报告,libimagecodec.quram.so是由Quramsoft开发的闭源图像解析库,实现了对各种图像格式的支持。
CIS 构建套件
据这家韩国电子巨头称,该漏洞被评为严重漏洞,影响 Android 13、14、15 和 16 版本。该漏洞于 2025 年 8 月 13 日私下披露给该公司。
三星并未透露该漏洞是如何被利用的,以及幕后黑手是谁。不过,该公司承认“该漏洞的利用方式已在野外存在”。
此前不久,谷歌宣布已修复 Android 中的两个安全漏洞(CVE-2025-38352 和 CVE-2025-48543),并称这两个漏洞已被利用来发起针对性攻击。
关于作者
评论0次