CVE-2025-21042 — Samsung Image Codec Remote Code Execution
⚙️ 漏洞概述
这是一个存在于三星图像处理库 libimagecodec.quram.so 中的严重安全漏洞,该库广泛应用于Galaxy系列Android设备。
🧩 漏洞本质是一个越界写入缺陷,在解析恶意图像文件(如DNG格式)时被触发。 📸 精心构造的图像文件可以让攻击者在设备上远程执行任意代码。
“三星SMR Apr-2025 Release 1之前版本的libimagecodec.quram.so中存在越界写入漏洞,允许远程攻击者执行任意代码。” — NVD摘要
------------------- | :---------------------------- | | CVSS v3.1 评分 | 💣 9.8 / 10 (严重) | | 攻击向量 | 🌐 网络 | | 所需权限 | ❌ 无 | | 用户交互 | ⚙️ 无 (可实现零点击攻击) |
👉 这意味着:攻击者仅需向您发送一张图片即可入侵您的手机——无需任何点击操作。
🧩 受影响设备
📱 运行固件版本早于 ➡️ SMR Apr-2025 Release 1 的三星Android设备。
如果您的设备尚未收到此安全补丁,则仍然存在风险。
🔍 扩展背景信息
- CVE-2025-21042是基于图像的零点击漏洞利用趋势的一部分。
- 类似漏洞曾在Pegasus和其他移动间谍软件中被利用。
- 这表明即使是像照片这样的“无害”文件类型也可能被武器化。💀
6HFtX5dABrKlqXeO5PUv/ydjQZDJ7Ct83xG1NG8fcAO3N5/59p6/523JPAADI002
