Krytyczna luka w dekoderze Dolby załatana w Androidzie: CVE-2025-54957 (DD+ Unified Decoder)

Wprowadzenie do problemu / definicja luki

Styczniowy biuletyn bezpieczeństwa Androida (2026) załatał podatność w komponentach Dolby oznaczoną jako CVE-2025-54957 i sklasyfikował ją jako Critical dla Androida (DD+ Codec). To błąd w Dolby Digital Plus (DD+) Unified Decoder / UDC, czyli powszechnie używanym dekoderze audio obecnym na wielu platformach.

Sedno problemu: specjalnie spreparowany strumień/plik audio może doprowadzić do błędu pamięci (out-of-bounds write), a w pewnych warunkach — potencjalnie do wykonania kodu w procesie dekodującym.

W skrócie

• CVE-2025-54957 dotyczy Dolby UDC (DD+) i wynika z przepełnienia liczb całkowitych, które prowadzi do zapisu poza buforem.
• W Androidzie problem jest szczególnie groźny, bo dekodowanie części treści audio może zachodzić lokalnie bez interakcji użytkownika (scenariusze „0-click”).
• Android Security Bulletin – styczeń 2026 wskazuje poprawkę i patch level 2026-01-05+ jako rozwiązujący problem.
• Dolby w swoim advisory podaje CVSS 3.1 = 6.7 (Medium) i zaznacza, iż najczęstszym skutkiem bywa crash/restart odtwarzacza, ale na Androidzie (m.in. Pixel) ryzyko może rosnąć przy łańcuchowaniu z innymi lukami.

Kontekst / historia / powiązania

Według opisu sprawy podatność została odkryta przez badaczy Google i zgłoszona do Dolby w czerwcu 2025, a poprawka po stronie Dolby miała być dostępna we wrześniu 2025. Temat stał się głośny jesienią 2025, gdy upubliczniono detale techniczne i pojawiły się informacje o wpływie na wiele ekosystemów.

Co ważne, luki w „multimedialnych” komponentach (kodeki/parsowanie) często mają szeroki zasięg, bo ten sam kod bywa licencjonowany i osadzany w wielu produktach. W tym przypadku CCB (belgijskie centrum ds. cyberbezpieczeństwa) wprost wskazuje „downstream impact” na różne systemy operacyjne, a na Androidzie podkreśla scenariusz 0-click.

Analiza techniczna / szczegóły luki

Z technicznego punktu widzenia mamy klasyczną sekwencję błędów:

1. Wejście kontrolowane przez atakującego: spreparowany DD+ bitstream (np. osadzony w pliku/załączniku audio).
2. Błąd obliczeń długości: podczas przetwarzania tzw. evolution data w pliku evo_priv.c następuje integer overflow / wraparound przy kalkulacji rozmiaru zapisu.
3. Zbyt mała alokacja + nieskuteczna walidacja: bufor zostaje zaalokowany za mały, a późniejsza kontrola granic zapisu przestaje działać, co kończy się out-of-bounds write.

CCB opisuje dodatkowo konsekwencję typową dla OOB write w strukturach: nadpisanie kolejnych pól (w tym potencjalnie wskaźników), co może otwierać drogę do bardziej deterministycznego przejęcia sterowania przepływem wykonania.

Praktyczne konsekwencje / ryzyko

Dlaczego Android oznaczył to jako „Critical”, skoro Dolby mówi „Medium”?
Różnica zwykle nie wynika z „innego błędu”, tylko z innego modelu zagrożeń i kontekstu użycia. Dolby w advisory wskazuje umiarkowaną ocenę (CVSS 6.7) i sugeruje, iż często kończy się to crashem, ale równocześnie zaznacza większe ryzyko dla urządzeń z rodziny Pixel przy łączeniu z innymi podatnościami. Z kolei Android (i komentujący sprawę eksperci) akcentują, iż na Androidzie dekodowanie niektórych treści audio może następować lokalnie po ich dostarczeniu — co umożliwia scenariusze bez kliknięcia.

Praktyczne skutki dla organizacji i użytkowników:

• potencjalny RCE w procesie multimedialnym (zależnie od osiągalności ścieżki i twardości mitigacji),
• DoS/crash usług multimedialnych (restarty procesów, spadek stabilności),
• możliwość wykorzystania jako element łańcucha exploitów (np. RCE → eskalacja → trwałość).

Rekomendacje operacyjne / co zrobić teraz

1) Aktualizuj do patch level 2026-01-05 lub nowszego
To najważniejszy krok — Android wskazuje, iż ten poziom łatek adresuje problem.

2) W organizacji: wymuś zgodność aktualizacji (MDM/UEM)

• ustaw polityki „minimum security patch level” (blokada dostępu do zasobów dla urządzeń niespełniających wymogu),
• włącz/egzekwuj automatyczne aktualizacje, tam gdzie to możliwe (zgodne też z rekomendacją Dolby dla konsumentów).

3) Redukuj powierzchnię ataku w kanałach wiadomości (tam, gdzie ma to sens)
CCB sugeruje rozważenie wyłączenia RCS na Androidzie, by ograniczyć ekspozycję na automatyczną obsługę treści multimedialnych w pewnych scenariuszach.
Dodatkowo (praktyka operacyjna): ogranicz auto-pobieranie multimediów w komunikatorach i edukuj użytkowników o ryzyku nieoczekiwanych plików audio.

4) Monitoring i detekcja
CCB zaleca podniesienie czujności monitoringu pod kątem podejrzanej aktywności.
W praktyce SOC/IR na Android Enterprise może szukać:

• skoków crashy procesów multimedialnych,
• anomalii powiązanych czasowo z odbiorem wiadomości/załączników audio,
• korelacji z nietypowymi źródłami plików (MMS/RCS/aplikacje).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• „Media parser” vs „aplikacja”: luki w kodekach są groźne, bo atakują warstwę przetwarzania danych, często uruchamianą automatycznie przez system lub aplikacje (stąd realność „0-click”).
• Ocena ryzyka zależna od integracji: ten sam błąd w bibliotece może mieć różny „ciężar” na platformach, zależnie od tego, czy wejście jest osiągalne bez UI, jakie są sandboxy, jakie mitigacje kompilatora/OS i czy istnieją znane łańcuchy.

Podsumowanie / najważniejsze wnioski

CVE-2025-54957 to podatność w Dolby UDC (DD+), która technicznie sprowadza się do integer overflow → zbyt mała alokacja → out-of-bounds write w ścieżce przetwarzania „evolution data”. Android nadał jej rangę Critical i załatał w styczniowym biuletynie 2026 — jeżeli zarządzasz flotą urządzeń, priorytetem jest doprowadzenie ich do patch level 2026-01-05+.

Źródła / bibliografia

1. Android Open Source Project – Android Security Bulletin (January 2026) (Android Open Source Project)
2. Dolby – Security Advisory CVE-2025-54957 (PDF, Oct 14 2025)
3. NIST NVD – CVE-2025-54957 (nvd.nist.gov)
4. SecurityWeek – Critical Dolby Vulnerability Patched in Android (SecurityWeek)
5. Centre for Cybersecurity Belgium (CCB) – Advisory on Dolby Unified Decoder CVE-2025-54957 (ccb.belgium.be)