Google heeft een kritieke kwetsbaarheid in de Android-implementatie van Dolby opgelost. Het lek zat in de DD+ Codec en kan leiden tot datalekken als er geen patch is uitgevoerd. Dolby schaalde de ernst in als middelmatig, maar Google beoordeelt het risico als kritiek.
CVE-2025-54957 is een bufferoverflow-kwetsbaarheid in Dolby UDC versies 4.5 tot 4.13. Het lek ontstaat bij de verwerking van data binnen het evo_priv.c-component van de DD+ bitstream decoder, meldt securitybedrijf Wiz. Bij het verwerken van deze data kan onvoldoende bufferruimte worden toegewezen.
Door die ontoereikende allocatie wordt de out-of-bounds-check niet correct uitgevoerd. Zo ontstaat een bufferoverflow waardoor gegevens kunnen uitlekken. De kwetsbaarheid kreeg van Dolby een CVSS-score van 6.5, wat als middelmatig wordt ingeschaald. Desondanks is context altijd belangrijk: een 10.0 gevaar in een applicatie die nooit het internet bereikt, is in de regel minder ernstig dan een 6.5-bug waarbij er wel een internetverbinding bestaat.
Grotere impact op Pixel-smartphones
Dolby stelt dat het uitbuiten van het lek in de meeste gevallen ertoe leidt dat een mediaspeler vastloopt of herstart. Maar in combinatie met andere Android-kwetsbaarheden kan de impact veel groter zijn. Google schaalt de ernst daarom hoger in en beoordeelt CVE-2025-54957 als kritiek, met name voor de eigen Pixel-smartphones.
De technische details tonen aan dat het probleem zit in de Evolution data processing. Een integer wraparound tijdens de length calculation resulteert in een ontoereikende bufferallocatie. Dit leidt vervolgens tot een out-of-bounds write condition tijdens schrijfoperaties.
Bredere context Android-kwetsbaarheden
Android heeft de afgelopen periode vaker te maken gehad met buffer overflow-problemen. Het NCSC adviseert om regelmatig updates uit te voeren op Android-apparaten, met name na ontdekte kwetsbaarheden. Ook in andere componenten zoals FreeType en Chrome GPU zijn vergelijkbare problemen aan het licht gekomen.
Google patcht dergelijke kwetsbaarheden via maandelijkse security bulletins. OEM-fabrikanten zoals Samsung en Xiaomi rollen deze fixes door naar hun toestellen. Door fragmentatie in het Android-ecosysteem kan het echter weken of maanden duren voordat alle gebruikers de patch ontvangen. Immers draaien veel Android-toestellen niet op de nieuwste versie omdat de OEM-variant hiervan nog niet is uitgerold.
Gebruikers kunnen hun patchniveau controleren via Instellingen > Over de telefoon > Android-beveiligingsupdate. Experts raden aan zo snel mogelijk te updaten naar de nieuwste security patch wanneer deze beschikbaar komt.