پژوهشگران تیم Project Zero گوگل از کشف یک آسیبپذیری با شدت متوسط در سیستم صوتی دالبی خبر دادهاند که میتواند بدون نیاز به تعامل کاربر به اجرای کد از راه دور روی دستگاههای اندرویدی و ویندوزی منجر شود.
این نقص امنیتی که با شناسه CVE-2025-54957 ثبت شده، در کامپوننت رمزگشای یکپارچه دالبی (Dolby Unified Decoder Component) شناسایی شده؛ ماژولی که در پخش صدا نقش دارد و روی دستگاههایی مانند گوشیهای سامسونگ، گوگل پیکسل و برخی رایانههای ویندوزی استفاده میشود.
بر اساس گزارش گوگل، آسیبپذیری یادشده از نحوه پردازش دادههای خاصی موسوم به "evolution data" در کدک Dolby Digital Plus ناشی میشود. این دادهها شامل اطلاعاتی پیشرفته مانند تنظیمات دامنه دینامیک یا تعداد کانالهای صوتی هستند که در نسخههای جدید کدک دالبی تعریف شدهاند. محاسبه اشتباه اندازه این دادهها میتواند باعث سرریز حافظه شود و در نتیجه آن مهاجم قادر خواهد بود حافظه مجاور را بازنویسی کرده و کد دلخواه خود را روی سیستم قربانی اجرا کند.
نکته نگرانکننده اینکه بهرهبرداری از این نقص حتی نیاز به کلیک کاربر ندارد. بهگفته کارشناسان، ارسال یک فایل صوتی دستکاریشده کافی است تا فرایند رمزگشایی صوت در پسزمینه دچار خطا شده و مهاجم کنترل دستگاه را بهدست گیرد.
شرکت دالبی در اطلاعیه امنیتی خود در تاریخ ۱۴ اکتبر تایید کرده از گزارش وجود این آسیبپذیری روی دستگاههای گوگل پیکسل آگاه است و هشدار داده که در صورت ترکیب این نقص با دیگر آسیبپذیریهای موجود در سیستمعامل، احتمال تشدید خطر وجود دارد. همچنین اعلام شده که سایر برندهای اندرویدی نیز ممکن است در معرض تهدیدهای مشابه باشند.
دالبی جزئیات فنی بیشتری منتشر نکرده اما مرور وصلههای امنیتی اندروید در سپتامبر ۲۰۲۵ نشان میدهد آسیبپذیریهایی وجود دارند که میتوانند با این نقص زنجیره شوند و به مهاجم امکان ارتقای سطح دسترسی را بدهند.
در حالیکه سرریزهای حافظه پدیدهای قدیمی در دنیای امنیت سایبری هستند، این حادثه بار دیگر نشان میدهد چگونه حتی یک فایل صوتی میتواند به ابزاری برای نفوذ و کنترل از راه دور بدل شود؛ بدون آنکه کاربر هیچگونه تعاملی با آن داشته باشد.
توضیحات بیشتر:
Zero-click Dolby audio bug lets attackers run code on Android and Windows devices