В этом бюллетене по безопасности содержится информация об уязвимостях в защите устройств Android. Все проблемы, перечисленные здесь, устранены в исправлении 2026-06-05 или более новом. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.
В течение 48 часов после выпуска этого бюллетеня мы опубликуем исправления исходного кода в хранилище Android Open Source Project (AOSP). Затем в бюллетень будут добавлены ссылки на AOSP.
Самая серьезная из проблем – критическая уязвимость в компоненте Framework, которая позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, удаленно повышать привилегии. Для этого не требуется взаимодействие с пользователем. Уровень серьезности зависит от того, какой ущерб потенциально может быть нанесен устройству, если средства защиты будут отключены в целях разработки или злоумышленнику удастся их обойти.
Подробные сведения о том, как платформа безопасности Android и Google Play Защита помогают снизить вероятность успешного использования уязвимостей Android, можно найти в разделе Предотвращение атак.
Мы сообщаем партнерам Android обо всех проблемах не менее чем за месяц до выхода бюллетеня.
Предотвращение атак
Здесь описано, как платформа безопасности Android и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность успешного использования уязвимостей Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления, используя Google Play Защиту, и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна, если устанавливаются приложения не из Google Play.
Описание уязвимостей (исправление системы безопасности 2026-06-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2026-06-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведена таблица, где указаны идентификаторы CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). и дополнительные ссылки в квадратных скобках. Устройства с ОС Android 10 или более поздней версии могут получать обновления системы безопасности, а также обновления системы через Google Play.
Framework
Самая серьезная уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, удаленно повышать привилегии. Для этого не требуется взаимодействие с пользователем.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2025-65018 | A-463998243 [2] [3] [4] [5] [6] | EoP | Критический | 14, 15, 16, 16-qpr2 |
| CVE-2025-64720 | A-463995203 [2] [3] [4] [5] [6] | DoS | Критический | 14, 15, 16, 16-qpr2 |
| CVE-2025-22424 | A-350456241 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2025-22426 | A-365086157 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2025-48570 | A-376048041 [2] | EoP | Высокий | 14 |
| CVE-2025-48595 | A-430889718 [2] [3] [4] [5] | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2025-48615 | A-433250316 [2] | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2025-48649 | A-339109116 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2025-48652 | A-452042097 [2] | EoP | Высокий | 15, 16, 16-qpr2 |
| CVE-2026-0009 | A-329631990 [2] [3] | EoP | Высокий | 15, 16 |
| CVE-2026-0046 | A-443272513 | EoP | Высокий | 14, 15, 16 |
| CVE-2026-0048 | A-463364410 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0055 | A-460779368 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0061 | A-452010556 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0076 | A-470115162 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0077 | A-467082881 | EoP | Высокий | 16-qpr2 |
| CVE-2026-0078 | A-445418705 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0087 | A-483142784 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0089 | A-485397908 | EoP | Высокий | 16-qpr2 |
| CVE-2026-0091 | A-438742644 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0100 | A-484973621 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-28577 | A-389950114 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-28580 | A-481967442 | EoP | Высокий | 16, 16-qpr2 |
| CVE-2026-0016 | A-460933604 [2] | ID | Высокий | 16, 16-qpr2 |
| CVE-2026-0036 | A-405392600 | ID | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0056 | A-462431486 | ID | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-28586 | A-477935679 | ID | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2025-32348 | A-406880479 [2] [3] [4] [5] [6] [7] | DoS | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0018 | A-449392803 | DoS | Высокий | 15, 16, 16-qpr2 |
| CVE-2026-0069 | A-480126173 | DoS | Высокий | 14 |
| CVE-2026-0070 | A-438186009 | DoS | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-28578 | A-475228205 | DoS | Высокий | 14, 15, 16, 16-qpr2 |
Система
Самая серьезная уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии Для этого не требуется взаимодействие с пользователем.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2026-0043 | A-453649377 | EoP | Критический | 14, 15, 16, 16-qpr2 |
| CVE-2026-0097 | A-446114623 | EoP | Критический | 14, 15, 16, 16-qpr2 |
| CVE-2026-21352 | A-483693973 | EoP | Критический | 14, 15, 16, 16-qpr2 |
| CVE-2026-21353 | A-483697751 | EoP | Критический | 14, 15, 16, 16-qpr2 |
| CVE-2025-64505 | A-463980379 [2] [3] [4] [5] [6] | DoS | Критический | 14, 15, 16, 16-qpr2 |
| CVE-2026-0039 | A-470966846 | DoS | Критический | 14, 15, 16, 16-qpr2 |
| CVE-2026-0040 | A-467994860 | DoS | Критический | 14, 15, 16, 16-qpr2 |
| CVE-2026-0041 | A-467994310 | DoS | Критический | 14, 15, 16, 16-qpr2 |
| CVE-2026-0042 | A-456471487 | DoS | Критический | 14, 15, 16, 16-qpr2 |
| CVE-2026-0044 | A-449728942 | DoS | Критический | 14, 15, 16, 16-qpr2 |
| CVE-2026-0051 | A-461790658 | DoS | Критический | 14, 15, 16, 16-qpr2 |
| CVE-2026-0052 | A-467352655 | DoS | Критический | 14, 15, 16, 16-qpr2 |
| CVE-2026-0080 | A-462431872 | DoS | Критический | 14, 15, 16, 16-qpr2 |
| CVE-2026-0059 | A-447536200 | RCE | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2025-26418 | A-351830787 | EoP | Высокий | 14, 15 |
| CVE-2025-48581 | A-428945391 [2] [3] | EoP | Высокий | 16 |
| CVE-2025-48612 | A-429417453 [2] [3] [4] | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0045 | A-380091558 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0075 | A-465133716 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0086 | A-476417007 | EoP | Высокий | 16-qpr2 |
| CVE-2026-0088 | A-471127462 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0093 | A-473812391 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0094 | A-471173239 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0095 | A-484861632 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0096 | A-473005624 | EoP | Высокий | 16, 16-qpr2 |
| CVE-2026-0098 | A-397217317 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0099 | A-385917501 | EoP | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-28574 | A-496735702 | EoP | Высокий | 16, 16-qpr2 |
| CVE-2025-48600 | A-435188844 | ID | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2025-48616 | A-438973280 | ID | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0050 | A-290364858 | ID | Высокий | 15, 16, 16-qpr2 |
| CVE-2025-48648 | A-396667508 | DoS | Высокий | 14, 15, 16 |
| CVE-2026-0060 | A-459639258 [2] [3] | DoS | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0067 | A-470967228 | DoS | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0074 | A-468061774 [2] | DoS | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0079 | A-470966318 [2] | DoS | Высокий | 14, 15, 16, 16-qpr2 |
| CVE-2026-0085 | A-414389102 | DoS | Высокий | 14, 15, 16, 16-qpr2 |
Обновления системы через Google Play
Исправления указанных ниже уязвимостей включены в компоненты проекта Mainline.
| Подкомпонент | CVE |
|---|---|
| MediaProvider | CVE-2026-0009 |
| Интерфейс документов | CVE-2026-0098 |
Описание уязвимостей (исправление системы безопасности 2026-06-05)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2026-06-05. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведена таблица, где указаны идентификаторы CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). и дополнительные ссылки в квадратных скобках.
Kernel
Указанная ниже уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии. без взаимодействия с пользователем.| CVE | Ссылки | Тип | Уровень серьезности | Подкомпонент |
|---|---|---|---|---|
| CVE-2025-40214 | A-463258435 Ядро upstream [2] |
EoP | Высокий | Сеть |
Imagination Technologies
Указанные ниже уязвимости затрагивают компоненты Imagination Technologies. Подробную информацию можно получить от компании Imagination Technologies. Уровень серьезности этих проблем определяется непосредственно компанией Imagination Technologies.
| CVE | Ссылки | Уровень серьезности | Подкомпонент | |
|---|---|---|---|---|
| CVE-2026-21736 |
A-382331631 * | Высокий | Графический процессор PowerVR | |
| CVE-2026-22163 |
A-477208444 * | Высокий | Графический процессор PowerVR | |
| CVE-2026-22167 |
A-492104691 * | Высокий | Графический процессор PowerVR |
Компоненты MediaTek
Указанные ниже уязвимости затрагивают компоненты MediaTek. Подробную информацию можно получить от компании MediaTek. Уровень серьезности этих проблем определяется непосредственно компанией MediaTek.
| CVE | Ссылки | Уровень серьезности | Подкомпонент | |
|---|---|---|---|---|
| CVE-2026-20432 |
A-480646333 M-MOLY01406170 * |
Высокий | Модем | |
| CVE-2026-20433 |
A-480745371 M-MOLY01088681 * |
Высокий | Модем | |
| CVE-2026-20447 |
A-488940382 M-ALPS10724073 * |
Высокий | GenieZone | |
| CVE-2026-20448 |
A-488938763 M-ALPS10708513 * |
Высокий | GenieZone | |
| CVE-2026-20453 |
A-500172039 M-ALPS10886526 * |
Высокий | GenieZone | |
| CVE-2026-20454 |
A-500172040 M-ALPS10873936 * |
Высокий | GenieZone | |
| CVE-2026-20455 |
A-500171842 M-ALPS10873936 * |
Высокий | GenieZone | |
| CVE-2026-20435 |
A-493235107 M-ALPS10607099 * |
Высокий | preloader | |
| CVE-2026-20431 |
A-480745369 M-MOLY01106496 * |
Высокий | Модем | |
| CVE-2026-20449 |
A-488935936 M-MOLY01760138 * |
Высокий | Модем | |
| CVE-2026-20450 |
A-488946597 M-MOLY01753620 * |
Высокий | Модем |
Компоненты Unisoc
Указанные ниже уязвимости затрагивают компоненты Unisoc. Подробную информацию можно получить от компании Unisoc. Уровень серьезности этих проблем определяется непосредственно компанией Unisoc.
| CVE | Ссылки | Уровень серьезности | Подкомпонент | |
|---|---|---|---|---|
| CVE-2025-71251 |
A-488917580 U-3192149 * |
Высокий | Модем | |
| CVE-2025-71252 |
A-488896810 U-3192153 * |
Высокий | Модем | |
| CVE-2025-71253 |
A-488917582 U-3192156 * |
Высокий | Модем | |
| CVE-2025-71254 |
A-488926919 U-3192159 * |
Высокий | Модем | |
| CVE-2025-71255 |
A-488928601 U-3192164 * |
Высокий | Модем | |
| CVE-2025-71256 |
A-488928606 U-3217322 * |
Высокий | Модем | |
| CVE-2026-21538 |
A-497208290 U-3281701 * |
Высокий | Модем | |
| CVE-2026-21539 |
A-497585110 U-3281702 * |
Высокий | Модем | |
| CVE-2026-21540 |
A-497585112 U-3281704 * |
Высокий | Модем | |
| CVE-2026-21541 |
A-497208295 U-3281705 * |
Высокий | Модем | |
| CVE-2026-21542 |
A-497208296 U-3281706 * |
Высокий | Модем | |
| CVE-2026-21543 |
A-497585114 U-3281708 * |
Высокий | Модем | |
| CVE-2026-21544 |
A-497585116 U-3281709 * |
Высокий | Модем | |
| CVE-2026-21545 |
A-497208298 U-3281710 * |
Высокий | Модем | |
| CVE-2026-21546 |
A-497587545 U-3281712 * |
Высокий | Модем | |
| CVE-2026-21547 |
A-497587546 U-3281716 * |
Высокий | Модем |
Компоненты Qualcomm
Указанные ниже уязвимости затрагивают компоненты Qualcomm. Они подробнее описаны в бюллетенях по безопасности и оповещениях системы безопасности Qualcomm. Уровень серьезности этих проблем определяется непосредственно компанией Qualcomm.
| CVE | Ссылки | Уровень серьезности | Подкомпонент | |
|---|---|---|---|---|
| CVE-2026-24085 |
A-489081387 QC-CR#4389100 |
Высокий | Экран | |
| CVE-2026-24089 |
A-480963667 QC-CR#4409502 |
Высокий | Экран |
Компоненты Qualcomm с закрытым исходным кодом
Указанные ниже уязвимости затрагивают компоненты Qualcomm с закрытым исходным кодом и подробно описаны в бюллетенях по безопасности и в оповещениях системы безопасности Qualcomm. Уровень серьезности этих проблем определяется непосредственно компанией Qualcomm.
| CVE | Ссылки | Уровень серьезности | Подкомпонент | |
|---|---|---|---|---|
| CVE-2025-47392 |
A-449732037 * | Критический | Компонент с закрытым исходным кодом | |
| CVE-2026-25276 |
A-500022090 * | Критический | Компонент с закрытым исходным кодом | |
| CVE-2026-25277 |
A-500022443 * | Критический | Компонент с закрытым исходным кодом | |
| CVE-2025-47384 |
A-482066737 * | Высокий | Компонент с закрытым исходным кодом | |
| CVE-2025-47400 |
A-490088971 * | Высокий | Компонент с закрытым исходным кодом | |
| CVE-2025-47401 |
A-457748569 * | Высокий | Компонент с закрытым исходным кодом | |
| CVE-2025-47403 |
A-457748033 * | Высокий | Компонент с закрытым исходным кодом | |
| CVE-2025-59604 |
A-465463345 * | Высокий | Компонент с закрытым исходным кодом | |
| CVE-2025-59605 |
A-465462444 * | Высокий | Компонент с закрытым исходным кодом | |
| CVE-2025-59606 |
A-465461683 * | Высокий | Компонент с закрытым исходным кодом | |
| CVE-2026-21367 |
A-473524385 * | Высокий | Компонент с закрытым исходным кодом | |
| CVE-2026-21372 |
A-490089371 * | Высокий | Компонент с закрытым исходным кодом | |
| CVE-2026-21373 |
A-490089294 * | Высокий | Компонент с закрытым исходным кодом | |
| CVE-2026-21374 |
A-490088523 * | Высокий | Компонент с закрытым исходным кодом | |
| CVE-2026-21375 |
A-490088656 * | Высокий | Компонент с закрытым исходным кодом | |
| CVE-2026-21376 |
A-490089071 * | Высокий | Компонент с закрытым исходным кодом | |
| CVE-2026-21378 |
A-490088320 * | Высокий | Компонент с закрытым исходным кодом | |
| CVE-2026-21380 |
A-490088402 * | Высокий | Компонент с закрытым исходным кодом | |
| CVE-2026-21381 |
A-473524555 * | Высокий | Компонент с закрытым исходным кодом |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.
- В исправлении 2026-06-01 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2026-06-01.
- В исправлении 2026-06-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2026-06-05 и всем предыдущим исправлениям.
Производители устройств, распространяющие эти обновления, должны установить следующие исправления:
- [ro.build.version.security_patch]:[2026-06-01]
- [ro.build.version.security_patch]:[2026-06-05]
В обновлении системы через Google Play для некоторых устройств с Android 10 или более поздней версией ОС будет указана дата, совпадающая с датой исправления 2026-06-01. Подробные сведения об установке обновлений системы безопасности можно найти в этой статье.
2. Почему в этом бюллетене говорится о двух исправлениях системы безопасности?
Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android решить все перечисленные выше проблемы и установить последнее исправление системы безопасности.
- На устройствах с установленным исправлением 2026-06-01 должны быть устранены все охваченные им проблемы, а также уязвимости, упомянутые в предыдущих выпусках бюллетеня.
- На устройствах с исправлением 2026-06-05 или более новым должны быть решены все проблемы, описанные в этом бюллетене и предыдущих выпусках.
Рекомендуем партнерам собрать все исправления проблем в одно обновление.
3. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Определение |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение уровня привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| – | Классификация недоступна |
4. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
| U- | Ссылочный номер UNISOC |
5. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.
6. Почему одни уязвимости описываются здесь, а другие – в бюллетенях по безопасности Pixel и остальных бюллетенях партнеров?
Здесь описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать дополнительные проблемы, перечисленные в других бюллетенях по безопасности, для этого не требуется. Некоторые производители, например Google, Huawei, LGE, Motorola, Nokia и Samsung, также публикуют информацию о проблемах, связанных с безопасностью выпускаемых ими устройств Android и чипсетов.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 1 июня 2026 г. | Бюллетень опубликован. |
| 1.1 | 3 июня 2026 г. | Обновлен список проблем и добавлены ссылки на AOSP. |