Zraniteľnosť sa týka spracovania formátu Dolby Digital Plus a je evidovaná pod označením CVE-2025–54957. Na zariadeniach s Androidom môže dôjsť k útoku už pri prijatí špeciálne upravenej zvukovej správy, keďže dekódovanie často prebieha automaticky na pozadí. Na počítačoch s operačným systémom Windows je zvyčajne potrebné, aby používateľ otvoril škodlivý súbor, no následky môžu byť rovnako vážne.
Tento dekodér slúži na rozbalenie komprimovaného zvuku Dolby – najmä Dolby Digital (AC-3), Dolby Digital Plus (E-AC-3) a prípadne aj metadát pre Dolby Atmos – do bežného nekomprimovaného audia. Inými slovami, premení úsporný „bitstream“ zo súboru alebo streamu na zvukové kanály, ktoré dokáže prehrávač, operačný systém alebo zvuková karta pustiť do slúchadiel, reproduktorov či cez HDMI. Zjednodušene povedané, v niektorých prípadoch si môžete nainštalovať škodlivý kód už len spustením pesničky, prípadne útočník získa možnosť spustiť vlastný kód. Na identifikácii problému sa podieľali výskumníci z tímu Google Project Zero, ktorí zverejnili podrobnosti až po sprístupnení opráv.
Čítajte viac Chat GPT už onedlho umožní erotické konverzácie. Nie každému je to po chuti
Hodnotenie závažnosti problému sa medzi analytikmi mierne líši, čo je pri mediálnych kodekoch bežné. Rozdiely vyplývajú z toho, ako jednotlivé platformy započítavajú vlastné bezpečnostné mechanizmy a predpokladanú interakciu používateľa. Podstatné je, že výrobcovia už reagovali. Microsoft chybu opravil v októbrových aktualizáciách systému Windows a upozornil, že na jej zneužitie je typicky potrebné otvoriť škodlivý súbor. Google rozdistribuoval záplaty pre ChromeOS a v ekosystéme Androidu priebežne prichádzajú aktualizácie prostredníctvom výrobcov zariadení.
Zasiahnuté nemusia byť len telefóny a počítače s Windowsom, ale aj iné platformy, kde sa dekodér Dolby používa. Tam, kde aplikácie automaticky sťahujú a spracúvajú prichádzajúce multimediálne správy, môže byť riziko vyššie, pretože používateľ nemusí nič kliknúť. Najlepšou ochranou je mať systém a multimediálne komponenty aktuálne. Používatelia by mali ponechať zapnuté automatické aktualizácie a dbať na to, aby ich zariadenie čo najskôr dostalo bezpečnostné záplaty. Výrobcovia zariadení a aplikácií by mali integrovať najnovšie verzie dekodéra, aby sa zraniteľnosť nešírila ďalej. Tento prípad opäť pripomína, že aj zvukové súbory môžu byť nosičom útoku a že rýchle nasadzovanie opráv je kľúčové pre ochranu bežných používateľov.
