Vulnerabilità

Vulnerabilità zero-click in Dolby audio consente esecuzione codice su Android e Windows

di Redazione
scritto da Redazione 0 commenti

Project Zero di Google ha scoperto una vulnerabilità zero-click nel componente audio Dolby Unified Decoder (UDC), che permette a un attaccante remoto di eseguire codice arbitrario su dispositivi Android e Windows semplicemente inviando file audio Dolby Digital Plus malformati, senza necessità di alcuna interazione da parte dell’utente. Il bug, classificato come CVE-2025-54957, è stato valutato di gravità media-alta e interessa una vasta gamma di dispositivi, tra cui smartphone Samsung e Google Pixel, oltre a sistemi Windows che utilizzano versioni Dolby UDC dalla 4.5 alla 4.13. La vulnerabilità sfrutta una gestione errata dei dati “evolution” nei flussi audio DD+, causando un buffer overflow nel decoder Dolby. Un overflow in memoria consente a un file audio manipolato di sovrascrivere aree adiacenti, permettendo l’iniezione ed esecuzione di codice malevolo. L’aspetto zero-click della falla — ossia l’assenza di azione richiesta all’utente — ne amplifica la pericolosità, rendendo possibile un attacco invisibile e immediato.

Dettagli tecnici e origini della vulnerabilità

Il bug nasce da un errore logico nella decodifica delle estensioni evolution di Dolby Digital Plus, utilizzate per supportare canali audio aggiuntivi e metadati avanzati. In determinate condizioni, il decoder calcola in modo scorretto la lunghezza dei pacchetti, riservando spazio insufficiente in memoria. Quando un flusso audio malformato contiene valori anomali, il decoder tenta di scrivere oltre i limiti del buffer, provocando corruzione della memoria e potenziale esecuzione di codice arbitrario. L’analisi di Project Zero dimostra che il bug può essere sfruttato su Android e Windows attraverso file audio manipolati inviati via messaggistica, email o applicazioni media, poiché i sistemi tendono a elaborare automaticamente i metadati audio per generare anteprime o pre-caricare il contenuto. Su Android, la falla può combinarsi con vulnerabilità di elevazione di privilegi (EoP), permettendo l’accesso completo al dispositivo. Su Windows, le versioni vulnerabili del decoder Dolby incluse nel sistema o in driver di terze parti possono esporre gli utenti a esecuzioni remote di codice o crash sistemici. Dolby ha confermato la vulnerabilità in un advisory pubblicato il 14 ottobre 2025, riconoscendo la collaborazione di Project Zero e sottolineando che le versioni UDC successive alla 4.13 includono fix correttivi e controlli di bound-checking rafforzati.

Impatto e modalità di exploitation

Gli attaccanti possono sfruttare la falla inviando file audio malevoli tramite messaggi o allegati. I dispositivi, nel tentativo di processare automaticamente i flussi Dolby, attivano il bug senza che l’utente apra il file. Questo scenario zero-click consente remote code execution (RCE) o crash immediati. In casi più avanzati, gli aggressori possono combinare questa falla con altre vulnerabilità note per mantenere persistenza nel sistema, rubare dati sensibili, installare malware o ottenere privilegi di amministratore. Project Zero ha dimostrato proof-of-concept funzionanti sia su Pixel 8 Pro che su Windows 11, confermando la riproducibilità del bug.

Gli scenari di attacco più realistici includono:

  • invio di file audio manipolati tramite app di messaggistica o social media;
  • caricamento automatico di anteprime sonore nei client di posta;
  • utilizzo di stream audio da siti compromessi o allegati multimediali;
  • campagne mirate contro obiettivi aziendali con dispositivi non aggiornati.

Il rischio è amplificato dal fatto che il componente Dolby UDC è integrato in driver e framework multimediali di numerosi produttori, da Qualcomm a MediaTek, rendendo il bacino di dispositivi vulnerabili potenzialmente molto ampio.

Vendor interessati e piattaforme colpite

Le piattaforme confermate come vulnerabili includono:

  • Google Pixel, che integra i decoder Dolby per la gestione avanzata del suono;
  • Samsung Galaxy, che utilizza gli stessi componenti per le funzioni audio premium;
  • Windows 10 e 11 con UDC Dolby versione 4.5–4.13;
  • dispositivi con chipset Qualcomm Snapdragon e MediaTek Dimensity, dove i driver audio incorporano moduli Dolby.

Dolby ha fornito aggiornamenti ai partner OEM, mentre Google e Samsung hanno incluso i fix nei rispettivi aggiornamenti di sicurezza di settembre 2025, rilasciati via OTA. Su Windows, le patch sono distribuite tramite Windows Update e aggiornamenti dei driver Dolby. Qualcomm e MediaTek hanno annunciato la revisione dei propri SDK audio per includere controlli di integrità sui buffer, mentre i produttori minori sono invitati a verificare le versioni dei decoder integrate nei firmware.

Patch, mitigazioni e aggiornamenti rilasciati

Il fix Dolby introduce un controllo esteso sulla lunghezza dei pacchetti audio e implementa allocazioni dinamiche sicure per impedire overflow. Tutti i produttori hanno ricevuto il codice corretto per l’integrazione nei firmware.

Le patch sono già operative su:

  • Android build settembre 2025 (Pixel e Samsung), che include mitigazioni per EoP correlate;
  • Windows Dolby UDC 4.14 e successive, che correggono la CVE-2025-54957;
  • aggiornamenti firmware per chipset Qualcomm e MediaTek rilasciati ai partner OEM.

Gli utenti devono abilitare gli aggiornamenti automatici su Android e Windows e, per ulteriore sicurezza, evitare di aprire o scaricare file audio provenienti da fonti sconosciute. Le organizzazioni, in particolare nel settore enterprise, dovrebbero implementare filtri anti-malware in tempo reale e policy di aggiornamento forzato per dispositivi mobili e laptop aziendali.

Raccomandazioni per utenti e aziende

Per ridurre l’esposizione a vulnerabilità zero-click, si raccomanda di:

  • installare immediatamente gli aggiornamenti di sicurezza Dolby, Android e Windows;
  • mantenere attive le funzioni di aggiornamento automatico;
  • utilizzare software anti-malware con protezione in tempo reale;
  • disabilitare il playback automatico di media ricevuti via messaggistica o browser;
  • evitare il download di file audio da fonti non verificate;
  • per le organizzazioni, monitorare il traffico di rete per flussi audio sospetti e applicare politiche di zero-trust sugli endpoint.

Questa vulnerabilità dimostra come componenti multimediali complessi possano diventare vettori d’attacco. Il caso Dolby conferma la necessità di un auditing continuo dei codec e di un’attenzione crescente verso la superficie d’attacco dei formati media, sempre più sfruttati nei cyber attacchi moderni.

La redazione di Matrice Digitale è specializzata in cybersecurity, OSINT, intelligenza artificiale e geopolitica tecnologica. Con inchieste indipendenti e analisi approfondite, raccontiamo come privacy, sorveglianza e innovazione digitale plasmano la società, anticipando i rischi e le sfide ignorate dai media tradizionali.