Samsung випустила оновлення безпеки для критичної zero-day уразливості CVE-2025-21043, що вже використовувалася у таргетованих атаках. Оцінка CVSS 8.8 підкреслює високий ризик: уразливість дає змогу віддалено виконувати код на пристроях з Android 13 і новіше. Про проблему вперше повідомили 13 серпня 2025 року команди безпеки Meta та WhatsApp.
Де помилка: вразливий код у libimagecodec.quram.so від Quramsoft
Коренем інциденту стала пропрієтарна бібліотека libimagecodec.quram.so, яку постачає Quramsoft для декодування графічних форматів на пристроях Samsung. Помилка належить до класу out-of-bounds write — запису за межі виділеної пам’яті. За наявності спеціально сформованого зображення або прев’ю це відкриває шлях до віддаленого виконання коду (RCE) у контексті вразливого процесу.
Як відбувається компрометація через медіаконтент
Типова атака зводиться до доставки шкідливого файлу зображення в застосунок, який використовує вразливу бібліотеку. Потенційні канали — месенджери та клієнти перегляду медіа, де рендеринг прев’ю запускається автоматично. Samsung підтверджує наявність робочого експлойта; отже, ризик стосується не лише конкретного месенджера, а всіх застосунків, що викликають libimagecodec.quram.so.
Ланцюжок інцидентів і суміжні виправлення
За даними представника Meta, переданими виданню BleepingComputer, результати розслідування таргетованої експлуатації влітку 2025 року були оперативно спрямовані індустріальним партнерам. Apple минулого місяця закрила пов’язану уразливість CVE-2025-43300, а Samsung додатково випустила патч для SVE-2025-1702 та опублікувала відповідний бюлетень безпеки.
Наприкінці серпня розробники WhatsApp також усунули zero-click уразливість CVE-2025-55177 в клієнтах для iOS і macOS. За повідомленнями, її могли поєднувати з CVE-2025-43300 у складних, точково спрямованих ланцюжках атак на окремих користувачів.
Оцінка ризику: чому парсинг зображень небезпечний
Високий бал CVSS зумовлений віддаленою досяжністю та можливістю довільного виконання коду. Уразливості в бібліотеках обробки медіа небезпечні тим, що тригеряться звичайними діями: отриманням повідомлення, переглядом прев’ю чи автоматичною індексацією галереї. Історичний прецедент — Stagefright у 2015 році, коли уразливість у мультимедійній підсистемі Android дозволяла компрометацію через MMS без активних дій користувача. Подібні дефекти часто застосовують у прихованих і точкових атаках проти журналістів, правозахисників і співробітників компаній з доступом до чутливої інформації.
Практичні кроки для користувачів та ІТ-відділів
Оновіть систему. Негайно встановіть останні оновлення прошивки та патчі безпеки Samsung. Перевірте Android Security Patch Level у налаштуваннях і переконайтеся, що він відповідає найновішому для вашої моделі.
Обмежте автозавантаження медіа. Тимчасово вимкніть автоматичне збереження зображень і відео в месенджерах, особливо на корпоративних пристроях. Це знижує ризик пасивного спрацювання експлойта через прев’ю.
Гігієна застосунків і MDM. Тримайте месенджери та медіаклієнти в актуальному стані, видаляйте дублікати та рідковживані програми. В організаціях застосовуйте політики MDM/EMM: блокуйте застарілі версії, примусово розгортайте оновлення, контролюйте доступ до стора.
Моніторинг і реагування. Звертайте увагу на нетипові збої медіазастосунків, раптові перезавантаження, аномальну мережеву активність. За підозри на компрометацію дійте за процедурою: ізоляція пристрою, резервне копіювання, за потреби — повне скидання до заводських налаштувань із відновленням із перевіреної копії.
Активна експлуатація CVE-2025-21043 підтверджує тренд: атаки часто стартують із парсингу медіаданих і далі комбінуються з іншими нульовими днями для ескалації доступу. Перевірте наявність патчів на своїх смартфонах Samsung вже сьогодні, оновіть ключові месенджери й обмежте автозавантаження медіа — це швидкі кроки, які суттєво зменшують площу атаки та допомагають випередити загрозу.
