FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

谷歌发布2026年1月安卓安全公告，敦促用户升级至2026-01-05或更高补丁级别，以修复杜比组件中的高危漏洞（CVE-2025-54957）。该漏洞存在于杜比数字增强版（DD+）编解码器中，可导致受影响安卓设备发生内存越界写入。

漏洞技术细节

该漏洞本质上是杜比通用解码器核心（UDC）4.5至4.13版本中的内存越界写入缺陷，仅在处理经过特殊构造的DD+比特流时触发。这类比特流经过人工编辑呈现"有效"但非标准特征，合法杜比创作工具无法生成此类数据流。

受影响设备情况

公告特别提及谷歌Pixel设备报告案例，当该漏洞与其他已知Pixel专属漏洞结合时风险加剧。谷歌警告称："其他安卓移动设备可能存在类似漏洞风险"。对于非Pixel硬件，漏洞利用通常仅导致媒体播放器崩溃或设备重启，单独利用门槛较低。

杜比公司将漏洞评级为"严重"，完整技术细节已通过其渠道发布（编号A-438955204）。补丁正在推送中，AOSP源代码变更将在公告发布48小时内跟进。

行业影响分析

该漏洞凸显了多媒体编解码器领域持续存在的安全挑战。DD+解码器负责处理应用程序和流媒体服务中的高品质音频，使其成为攻击者重点目标。根据报告，攻击者可能将恶意比特流嵌入看似无害的媒体文件，若与权限提升漏洞（特别是Pixel设备上的漏洞）结合，可能实现代码执行。

谷歌防御措施

谷歌强调其分层防御体系：安卓安全平台包含强化内存管理等漏洞利用缓解措施，Google Play Protect则提供实时潜在有害应用（PHA）扫描功能。该服务默认在所有搭载谷歌移动服务（GMS）的设备上启用，已阻止无数威胁。合作伙伴至少提前一个月收到漏洞通知，确保OEM厂商能及时发布补丁。

用户应对建议

用户应立即通过"设置 > 关于手机 > Android版本"检查设备安全补丁级别，优先安装更新（特别是Pixel用户），并通过Google Play获取应用以启用Play Protect保护。虽然尚未发现活跃攻击，但该补丁级别修复了按组件分类的多项问题，其中杜比漏洞最为突出。安全团队正通过Play Protect遥测持续监控威胁态势。

参考来源：

Critical Dolby Codec Vulnerability Exposes Android Devices to Code Execution Attacks

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）