A Samsung lançou uma atualização de segurança para corrigir uma vulnerabilidade crítica de dia zero que estava sendo explorada ativamente em dispositivos Android. Identificada como CVE 2025 21043, a falha afeta múltiplas versões do sistema Android 13, 14, 15 e 16 e foi corrigida no pacote de segurança de setembro de 2025. A falha está localizada na biblioteca proprietária, desenvolvida pela Quramsoft, responsável pelo processamento e decodificação de imagens nos dispositivos da marca.
Trata se de uma vulnerabilidade de escrita fora dos limites que pode permitir a execução remota de código arbitrário no dispositivo afetado. Esse tipo de falha é particularmente perigoso porque pode ser explorado sem a interação direta do usuário, por meio do envio de imagens especialmente manipuladas para ativar o erro. Se explorada com sucesso, a vulnerabilidade pode permitir que atacantes comprometam completamente o dispositivo, incluindo o acesso a dados sensíveis. A empresa confirmou que recebeu o alerta sobre a vulnerabilidade em 13 de agosto de 2025 e que havia exploração ativa em ambientes reais, o que caracteriza a falha como um verdadeiro zero day.
A correção foi aplicada no pacote de segurança de setembro de 2025. Dispositivos da Samsung que recebem atualizações de segurança mensais já começaram a receber o pacote. No entanto, usuários com aparelhos fora do ciclo de atualização devem ficar atentos e, se possível, atualizar manualmente ou aplicar medidas de mitigação como desabilitar visualizações automáticas de imagens em aplicativos de mensagens.
