Kritiek Dolby-lek in Android gedicht door Google

In dit artikel:

Google heeft een ernstige veiligheidsbug in de Android-implementatie van Dolby opgelost die kan leiden tot datalekken als apparaten niet gepatcht zijn. Onder CVE-2025-54957 valt een bufferoverflow in de DD+ (Dolby UDC) decoder — specifiek in het evo_priv.c‑onderdeel — die voorkomt in versies 4.5 tot en met 4.13, aldus securitybedrijf Wiz. Tijdens de verwerking van Evolution-data kan een integer wraparound bij de lengteberekening leiden tot een te kleine bufferallocatie; gevolg is een out‑of‑bounds write en mogelijk uitlekken van gegevens.

Dolby gaf de kwetsbaarheid een CVSS-score van 6,5 (middelmatig) en meldt dat misbruik meestal een mediaspeler doet vastlopen of herstarten. Google beoordeelt het risico echter als kritiek, vooral op Pixel‑telefoons, omdat de fout in combinatie met andere Android‑kwetsbaarheden kan escaleren. Het probleem past in een bredere reeks buffer‑overflowproblemen die Android recent troffen; het Nederlandse NCSC raadt gebruikers daarom aan updates snel te installeren.

Google brengt fixes uit via maandelijkse security bulletins; fabrikanten zoals Samsung en Xiaomi moeten die updates naar hun toestellen doorrollen. Door fragmentatie kan distributie echter weken tot maanden duren. Controleer je patchniveau via Instellingen > Over de telefoon > Android‑beveiligingsupdate en update zo snel mogelijk naar de nieuwste beveiligingspatch wanneer die beschikbaar is.