فقط سه هفته زمان دارید!_صبح سریع

کاربران اندروید این هفته با یک حالت پیچیده روبه رو شده‌اند. گوگل و سامسونگ در حالی بسته‌های امنیتی جدیدی برای تلفنهای پیکسل و گلکسی انتشار کرده‌اند که تا این مدت با اهمیت ترین پچ‌های امنیتی در آن‌ها در نظر گرفته نشده است. این در حالی‌ست که مهلت تعیین‌شده برای ایمن‌سازی دستگاه‌ها یا توقف منفعت گیری از آن‌ها، ۲۴ ژوئن اظهار شده و زمان بسیاری باقی نمانده است. اگرچه بیشتر از ۳۰ اصلاحیه امنیتی انتشار شده، اما حیاتی‌ترین آن‌ها تا این مدت اراعه نشده‌اند.

این پچ‌های امنیتی مربوط به حفره‌های امنیتی می باشند که زمان‌ها است انتظارشان را داریم. کوالکام هشدار داده که بر پایه گزارش گروه تحلیل تهدید گوگل (Google Threat Analysis Group)، سه نقطه صدمه‌پذیری با شناسه‌های CVE-2025-21479، CVE-2025-21480 و CVE-2025-27038 امکان پذیر هم‌اکنون در سطحی محدود و موثر در حال منفعت‌برداری باشند. این صدمه‌پذیری‌ها در درایورهای مربوط به پردازنده گرافیکی Adreno مشاهده شده‌اند.

اگرچه تا این مدت به‌طور رسمی قبول نشده، اما به نظر می‌رسد این حملات در قالب نرم‌افزارهای جاسوسی تجاری انجام شده‌اند؛ درست شبیه حملاتی که پیش از این توسط سازمان عفو بین‌الملل افشا شده می بود. کوالکام اظهار کرده که پچ‌های امنیتی ملزوم را در ماه مه در اختیار تولیدکنندگان تجهیزات (OEM) قرار داده و به آن‌ها پیشنهاد جدی کرده که این به‌روزرسانی‌ها را هرچه سریع تر روی دستگاه‌های صدمه‌پذیر اعمال کنند.

این ضرب‌الاجل از سوی آژانس امنیت سایبری ایالات متحده (CISA) صادر شده و برای کارکنان دولت فدرال الزامی است، اما برای دیگر کاربران نیز به‌طور جدی پیشنهاد شده است. این نهاد هشدار داده که «تعدادی از تراشه‌های کوالکام» صدمه‌پذیری‌هایی را در خود دارند که شرح فنی آن‌ها به‌شرح زیر است:

• CVE-2025-27038: یک نقص از نوع use-after-free که امکان پذیر زمان پردازش گرافیکی در مرورگر Chrome با منفعت گیری از درایورهای Adreno تبدیل صدمه در حافظه شود.
• CVE-2025-21480: صدمه‌پذیری مربوط به مجوزدهی نادرست که به اجرای غیرمجاز برخی فرمان‌ها در micronode پردازنده گرافیکی منجر شده و می‌تواند حافظه را دچار خرابی کند.
• CVE-2025-21479: این نقص نیز همانند مورد قبلی، ناشی از اجرای غیرمجاز فرمان‌ها در micronode GPU بوده و علتتخریب حافظه می‌شود.

آژانس CISA به کارکنان فدرال مهلت ۲۱ روزه داده تا تلفنهای خود را به‌روزرسانی کنند؛ در غیر این صورت باید منفعت گیری از آن‌ها را متوقف کنند، مگر آن‌که راهکارهایی برای افت ریسک صدمه‌پذیری اراعه شده باشد. از آنجا که زمان انتشار کردن پچ‌های امنیتی ماه ژوئن از دست رفته، گمان دارد که با اراعه‌نشدن به‌روزرسانی‌های خارج از برنامه،کاربران بتوانند این به روزرسانی را به از سر بگذارنند.

در قبل دیده شده که تلفنهای پیکسل سریع تر از مدل‌های سامسونگ این به‌روزرسانی‌ها را دریافت می‌کنند و تلفنهای سامسونگ طبق معمولً با تأخیر روبه رو‌اند. سامسونگ هم هشدار داده که امکان پذیر پچ‌های امنیتی اراعه‌شده توسط سازندگان تراشه‌ها در بسته‌های امنیتی این ماه قرار نگرفته باشند و پافشاری کرده که این اصلاحیه‌ها به محض آماده‌سازی، در به‌روزرسانی‌های بعدی گنجانده خواهند شد.

این حالت بار دیگر سختی سامسونگ را در مدیریت سیستم‌عاملی مشخص می کند که گرچه بر بازار سلطه دارد، اما خارج از کنترل مستقیم این شرکت است. در این شرایط، آن‌چه برای کاربران سامسونگ اهمیت بیشتری دارد، شدت اراعه اندروید ۱۶ از طریق رابط کاربری One UI 8 خواهد می بود. انتظار می‌رود جدول وقتی به‌روزرسانی نسخه پیکسل به‌زودی اظهار شود و فاصله‌ی وقتی بین دو برند در این عرصه تأثیر بسزایی خواهد داشت.

هرچند ضرب‌الاجل CISA تنها برای پرسنل دولت فدرال الزامی است، اما این سازمان مأموریت خود را خدمت‌رسانی به جامعه‌ی امنیت سایبری و مدافعان شبکه و پشتیبانی به همه سازمان‌ها برای مدیریت مؤثر صدمه‌پذیری‌ها و همگام‌ماندن با تهدیدات می‌داند. بر همین مبنا، از همه کاربران اندروید خواسته شده تا به‌محض انتشار کردن پچ‌های امنیتی کوالکام، نسبت به نصب آن‌ها عمل کنند.