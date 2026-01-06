Een kritiek lek in het Android-platform is gedicht. Het lek zit in de implementatie van Dolby in het mobiele besturingssysteem, en daarbij specifiek de DD+ Codec. CVE-2025-54957 is een bufferoverflow-kwetsbaarheid in Dolby UDC versies 4.5 tot 4.13. Het lek zit in de verwerking van data binnen het evo_priv.c-component van de DD+ bitstream decoder, meldt Wiz. Bij het verwerken van deze data kan onvoldoende bufferruimte worden toegewezen. Daardoor wordt de out-of-bounds-check niet goed uitgevoerd, waardoor een bufferoverflow kan ontstaan. Zo kunnen gegevens uitlekken.

Het lek is met een CVSS-score van 6,5 als middelmatig ingeschaald. Dolby meldt dat het uitbuiten van het lek in de meeste gevallen ertoe leidt dat een mediaspeler vastloopt of herstart. In combinatie met andere Android-kwetsbaarheden kan het lek in ieder geval op Google Pixel-smartphones echter meer impact hebben, waarschuwt het bedrijf. Google schaalt de ernst van het lek hoger in en beoordeelt CVE-2025-54957 als kritiek.