NCSC NL | Beveiligingsadviezen

Beveilingsadvies; NCSC-2025-0273 [1.0.0]

Beveiligingsadvies: NCSC-2025-0273 [1.0.0]
Publicatie: 04-09-2025 10:15 (Europe/Amsterdam)
Prioriteit: Normaal
Betreft: Kwetsbaarheden verholpen in Google Android en Samsung Mobile

Kenmerken

Improper Input Validation
Improper Restriction of Operations within the Bounds of a Memory Buffer
Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
Out-of-bounds Read
Buffer Over-read
Improper Validation of Array Index
Incorrect Calculation of Buffer Size
Improper Neutralization of Value Delimiters
Improper Handling of Insufficient Permissions or Privileges
Improper Access Control
Improper Authentication
Channel Accessible by Non-Endpoint
Inadequate Encryption Strength
Time-of-check Time-of-use (TOCTOU) Race Condition
CWE-371
Improper Resource Shutdown or Release
Double Free
Use After Free
NULL Pointer Dereference
Reachable Assertion
Exposure of Resource to Wrong Sphere
Out-of-bounds Write
Use of Out-of-range Pointer Offset
Missing Authorization
Incorrect Authorization
Exposure of Sensitive Information caused by Incorrect Data Forwarding during Transient Execution

Omschrijving

Google heeft kwetsbaarheden verholpen in Android. Samsung heeft de voor Samsung Mobile relevante kwetsbaarheden verholpen in Samsung Mobile.

De kwetsbaarheden in de Android kernel omvatten onder andere een raceconditie tussen functies die CPU-timers beheren, wat kan leiden tot systeeminstabiliteit. Daarnaast zijn er kwetsbaarheden gerapporteerd die ongeautoriseerde toegang tot gevoelige informatie mogelijk maken door onjuist gebruik van geheugen en systeemoproepen. Dit kan resulteren in ernstige beveiligingsimplicaties, waaronder het uitvoeren van ongewenste code en het compromitteren van systeemintegriteit.

Naast kwetsbaarheden in Android zijn ook kwetsbaarheden verholpen in Closed-source componenten van Arm, Mediatek, Imagination Technologies en Qualcomm.

Google meldt informatie te hebben ontvangen dat de kwetsbaarheden met kenmerk CVE-2025-38352 en CVE-2025-48543 beperkt en gericht zijn misbruikt. Er is geen publieke Proof-of-Concept-code of exploit bekend van deze kwetsbaarheden.

Oplossingen

Google heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Samsung heeft updates uitgebracht om de voor Samsung Mobile relevante kwetsbaarheden te verhelpen.

Zie bijgevoegde referenties voor meer informatie.

Referenties

CVE's

Producten

Google

Android

Samsung

Samsung Mobile Devices

Disclaimer

The Netherlands Cyber Security Center (henceforth: NCSC-NL) maintains this page to enhance access to its information and security advisories. The use of this security advisory is subject to the following terms and conditions: NCSC-NL makes every reasonable effort to ensure that the content of this page is kept up to date, and that it is accurate and complete. Nevertheless, NCSC-NL cannot entirely rule out the possibility of errors, and therefore cannot give any warranty in respect of its completeness, accuracy or continuous keeping up-to-date. The information contained in this security advisory is intended solely for the purpose of providing general information to professional users. No rights can be derived from the information provided therein. NCSC-NL and the Kingdom of the Netherlands assume no legal liability or responsibility for any damage resulting from either the use or inability of use of this security advisory. This includes damage resulting from the inaccuracy of incompleteness of the information contained in the advisory. This security advisory is subject to Dutch law. All disputes related to or arising from the use of this advisory will be submitted to the competent court in The Hague. This choice of means also applies to the court in summary proceedings.