לפני שאתם דוחים את העדכון לזמן יותר מאוחר, כדאי לדעת שהפעם מדובר בתיקון שמגן מפני פריצה פעילה. יתר התיקונים בחבילה קצת יותר צנועים אך שימושיים, בין אם מדובר באודיו נקי יותר או חיבור בלוטות’ אמין לשעון החכם.
הטלאי הקריטי – CVE-2025-27363
במאגר מערכת בשם FreeType, החלק שאחראי להציג את הפונטים באנדרואיד, התגלתה שגיאת תכנות (CVE-2025-27363). במסגרת השגיאה, האקר יכול לשלוח לקובץ־הפונט ערכים חריגים, שגורמים ל-FreeType לכתוב נתונים במקום הלא-נכון בזיכרון. ברגע שהכתיבה חורגת מהגבול, התוקף מקבל אפשרות להריץ קוד משלו על הטלפון, בלי שתפתחו קובץ, תלחצו על קישור או תעניקו הרשאות נוספות. גוגל (Google) מדווחת שהפגם כבר נוצל במתקפות ממוקדות בעולם האמיתי.
על מי זה משפיע?
החולשה קיימת בכל מכשיר שמריץ גירסת אנדרואיד לפני טלאי האבטחה של מאי 2025 (רמת אבטחה 2025-05-01 ומטה). כל דגמי Pixel, וטלפונים אחרים שעדיין לא קיבלו את עדכון מאי, חשופים תאורטית להשתלטות מלאה – גניבת קבצים, הקלטת מיקרופון או התקנת אפליקציות זדוניות.
הפצת העדכון מתבצעת בצורה הדרגתית בהתאם לדגם וספק הסלולר. אם עוד לא קיבלתם אותו תמשיכו לבדוק במהלך השבוע הקרוב.
אנטי-Rollback בבוטלודר
לבעלי Pixel 6 ומעלה מצפה הפתעה נוספת. לאחר ההתקנה לא ניתן יהיה לחזור לגירסת אנדרואיד ישנה יותר. גוגל מקשיחה את הבוטלודר ומונעת הורדה לגרסאות פגיעות – צעד שמקטין את סיכויי ההאקר להחזיר את המכשיר למצב חשוף.
לצד עדכון האבטחה, אלו שלושת הבאגים הנוספים שתוקנו:
- איכות הקלטה: תיקון לעיוותי מיקרופון באפליקציות מסוימות.
- בלוטות’: פתרון לקושי בזיווג שעונים חכמים בתנאים מסוימים.
- ממשק: תיקון תצוגת שפה משנית באריחי הגדרות מהירות.
ככה תעדכנו
כדי לעדכן את המערכת לגרסה העדכנית ביותר – גשו להגדרות > מערכת > עדכון תוכנה > חפשו עדכון ואשרו את ההורדה. מומלץ לחבר את המכשיר למטען ול-Wi-Fi עד סיום ההתקנה והאתחול.
