文章总结： 谷歌2026-01-05补丁修复DolbyDigitalPlus解码器高危越界写入漏洞CVE-2025-54957，攻击者可通过构造异常DD+比特流在Pixel等安卓设备触发代码执行，建议立即更新系统并仅依赖PlayProtect下载应用以降低风险 综合评分： 82 文章分类： 漏洞预警,移动安全,安全大事件

安卓音频解码组件曝高危漏洞，可致恶意代码执行，谷歌紧急发布补丁

看雪学苑

看雪学苑

2026年1月7日 17:59 上海

谷歌近日发布了2026年1月的安卓安全公告，紧急敦促用户将设备安全补丁级别更新至2026-01-05或更高版本，以修复一个存在于Dolby组件中的高危漏洞。

此次漏洞的核心是编号为CVE-2025-54957的安全缺陷，它影响Dolby Digital Plus（DD+）音频编解码器，可能导致在受影响的安卓设备上发生越界内存写入。该漏洞植根于Dolby通用解码核心（UDC）4.5至4.13版本中，仅在处理经过特殊精心构造的DD+比特流时才会触发。这种比特流是经过手动编辑的，虽“有效”但不符合标准，正常的Dolby授权工具无法生成此类数据流，因此自然出现的可能性较低。

然而，公告中提到一份涉及谷歌Pixel设备的报告显示，当此漏洞与其他已知的Pixel特定漏洞结合时，会显著放大风险。“其他安卓移动设备也可能面临类似漏洞的风险，”谷歌警告称。对于非Pixel硬件设备，单独利用此漏洞通常只会导致媒体播放器崩溃或设备重启，这表明其被恶意利用的门槛相对较低。

Dolby方面将此漏洞的严重性评级为“高危”，完整细节已通过其渠道（编号A-438955204）发布。相关补丁已在陆续推出，AOSP源代码的相应更改将在公告发布后48小时内完成。

此次事件再次凸显了多媒体编解码器领域持续面临的安全挑战，它们一直是安卓系统遭受攻击的常见途径。DD+解码负责处理应用程序和流媒体服务中的高质量音频，使其成为攻击者的重要目标。攻击者可能将恶意比特流嵌入看似无害的媒体文件中，若结合权限提升漏洞（尤其是在Pixel设备上），则可能实现代码执行。

谷歌强调了其纵深防御策略。安卓安全平台本身包含强化的内存管理等漏洞利用缓解措施，同时谷歌Play Protect会实时扫描潜在有害应用。Play Protect在搭载谷歌移动服务（GMS）的设备上默认启用，已阻止了无数威胁。谷歌合作伙伴通常会提前至少一个月收到通知，以便设备制造商能及时发布修补程序。

用户应立即通过“设置”>“关于手机”>“安卓版本”检查设备的安全补丁级别。应优先进行更新，尤其是Pixel设备用户，并坚持通过Google Play商店下载应用以充分利用Play Protect的保护。

尽管目前尚未确认有活跃的攻击利用此漏洞，但本次补丁级别更新还解决了按组件分组的一系列其他问题，Dolby漏洞是其中突出的一个。谷歌安全团队正通过Play Protect的遥测系统持续进行监控。

资讯来源：cybersecuritynews

转载请注明出处和本文链接

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑《安卓音频解码组件曝高危漏洞，可致恶意代码执行，谷歌紧急发布补丁》