Hack Alerta

Vulnerabilidade crítica em codec Dolby atinge Android; atualize para patch 2026-01-05

Por Redação Hack Alerta Publicado em 06/01/2026 14:03 Riscos e Ameaças Tempo de leitura: 3 min

CVE-2025-54957 atinge o Dolby UDC (v4.5–4.13) e pode causar out-of-bounds write ao processar DD+ malformado; Google recomenda aplicar patch com nível 2026-01-05 ou posterior e priorizar updates em Pixels.

O boletim de segurança Android de janeiro de 2026 inclui uma falha crítica em componentes Dolby que pode permitir escrita fora dos limites em memória ao processar fluxos DD+ (Dolby Digital Plus), com potencial de execução de código quando combinada a outras falhas.

Detalhes técnicos

O problema foi identificado como CVE-2025-54957 e está no Universal Decoder Core (UDC) da Dolby, afetando as versões 4.5 até 4.13 do componente, segundo a matéria. A exploração ocorre quando o decodificador processa um bitstream DD+ especialmente craftado, que é "válido" na forma mas não conforme padrões esperados.

Alcance e risco

A matéria observa que fluxos maliciosos não são gerados por ferramentas legítimas de autoria Dolby, o que reduz a probabilidade de ocorrência natural. Ainda assim, o texto registra um relatório envolvendo dispositivos Google Pixel onde a combinação da falha com outros bugs específicos do dispositivo amplificou o risco.

“Other Android mobile devices could be at risk of similar vulnerabilities,” Google warns.

Para aparelhos não-Pixel, a exploração isolada tende a causar travamentos de media players ou reinícios do dispositivo; contudo, o acoplamento com vulnerabilidades de elevação de privilégio pode resultar em execução arbitrária de código.

Mitigações e recomendações

  • Google recomenda aplicar o patch com nível de segurança 2026-01-05 ou posterior disponibilizado via parceiros OEM e fabricantes.
  • Usuários devem checar em Settings > About phone > Android version o nível de patch e priorizar atualizações, especialmente proprietários de Pixel.
  • Manter apps apenas de fontes confiáveis (Google Play) para aproveitar a proteção adicional do Play Protect.

Disponibilidade de correções

Segundo a cobertura, a Dolby já publicou correções e o AOSP terá mudanças de código-fonte publicadas em até 48 horas após o boletim. O advisory da Dolby está referenciado como A-438955204 na matéria.

Limites das informações

Não há indicação pública, na matéria consultada, de exploração ativa e generalizada em campo; a cobertura diz explicitamente que "nenhuma exploração ativa foi confirmada" até a data do boletim, mas incentiva atualização devido à gravidade e ao alcance potencial em plataformas Android.

Fonte

Baseado na matéria do Cyber Security News datada de 06/01/2026, que resume o Android Security Bulletin de janeiro/2026 e o advisory da Dolby.

Baseado em publicação original de Cyber Security News
Tags: #android #dolby #cve-2025-54957 #codec #udc #ddplus #patch #seguranca #pixels
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar