Google objavio zakrpe za Android: 124 ranjivosti, uključujući jednu zero-day ranjivost koja je već bila meta napada

Google je objavio lipanjske sigurnosne zakrpe za Android 2026. godine i njima pokrio 124 ranjivosti, među kojima je i jedna zero-day ranjivost za koju Google navodi da je bila iskorištavana u ciljanim napadima. Riječ je o ranjivosti u Android Frameworku, praćenoj kao CVE-2025-48595, koju lokalni napadači mogu iskoristiti za izvršavanje koda i eskalaciju privilegija na uređajima s Androidom 14 ili novijim.

Google je u Android Security Bulletin za ožujak 2025. naveo da postoje naznake kako bi CVE-2025-48595 mogla biti podložna ograničenom, ciljanom iskorištavanju. Tvrtka je pritom dodala i da novija izdanja Android platforme otežavaju iskorištavanje mnogih problema na sustavu te je pozvala korisnike da, gdje je to moguće, prijeđu na najnoviju verziju Androida.

Ovog mjeseca Google je zakrpao i 18 kritičnih ranjivosti u komponentama System, Framework i Qualcomm closed-source komponentama. Prema Googleu, neke od tih ranjivosti napadači mogu iskoristiti za izazivanje uvjeta uskraćivanja usluge i za podizanje privilegija na nezakrpanim Android uređajima. Google je naveo i da je najteži od tih problema kritična sigurnosna ranjivost u komponenti Framework koja bi mogla dovesti do udaljene eskalacije privilegija bez potrebe za dodatnim privilegijama izvršavanja, a za iskorištavanje nije potrebna korisnička interakcija.

Google je u ponedjeljak objavio dva seta zakrpa, označena kao 2026-06-01 i 2026-06-05 security patch level. Drugi paket obuhvaća sve ispravke iz prvog seta, uz zakrpe za zatvorene komponente trećih strana i kernel podkomponente koje se možda ne primjenjuju na sve Android uređaje. Google Pixel uređaji trebali bi te sigurnosne nadogradnje dobiti odmah, dok će drugi proizvođači često trebati više vremena za testiranje i prilagodbu zakrpa za određene hardverske konfiguracije.

Google zasad nije objavio tehničke detalje o ranjivosti niti dodatne informacije o napadima koji se povezuju s CVE-2025-48595. BleepingComputer navodi i da su slične ranjivosti u prošlosti iskorištavali komercijalni špijunski softver i državni napadi usmjereni na visokoprofilne ili posebno zanimljive pojedince. Google je ranije zakrpao još dva zero-day propusta, CVE-2025-48633 i CVE-2025-48572, u prosincu, kao i zero-day u Qualcommovoj komponenti zaslona, CVE-2026-21385, u ožujku, a svi su bili označeni kao ranjivosti pod ograničenim, ciljanom iskorištavanjem.