Chyba vo zvukovom dekodéri môže spôsobiť, že sa vám do počítača nainštaluje škodlivý kód bez toho, aby ste na niečo klikli

Objavená chyba v zvukovom dekodéri Dolby Unified Decoder umožňuje v určitých prípadoch spustiť škodlivý kód aj bez zásahu používateľa. Postihuje spracovanie formátu Dolby Digital Plus a je vedená pod označením CVE-2025-54957. Na zariadeniach s Androidom môže dôjsť k útoku už pri prijatí špeciálne upravenej zvukovej správy, pretože dekódovanie často prebieha automaticky na pozadí. Na počítačoch s Windows je zvyčajne potrebné, aby používateľ otvoril škodlivý súbor, no následky môžu byť rovnako vážne.

Tento dekodér slúži na  rozbalenie komprimovaného zvuku Dolby – najmä Dolby Digital (AC-3), Dolby Digital Plus (E-AC-3) a prípadne aj metadáta pre Dolby Atmos – do bežného nekomprimovaného audia (PCM). Inými slovami, premení úsporný „bitstream“ zo súboru alebo streamu na zvukové kanály, ktoré dokáže prehrávač, operačný systém alebo zvuková karta pustiť do slúchadiel, reproduktorov či cez HDMI. Zjednodušene povedané – v praxi to znamená, že si môžete v niektorých prípadoch škodlivý kód nainštalovať už len spustením pesničky, respektíve útočník získať možnosť spustiť vlastný kód. Na identifikácii problému sa podieľali výskumníci z tímu Google Project Zero, ktorí zverejnili podrobnosti až po sprístupnení opráv.

Hodnotenie závažnosti sa medzi aktérmi mierne líši, čo je pri mediálnych kodekoch bežné. Rozdiely vyplývajú z toho, ako jednotlivé platformy započítavajú vlastné bezpečnostné mechanizmy a predpokladanú interakciu používateľa. Podstatné je, že výrobcovia už reagovali. Microsoft chybu opravil v októbrových aktualizáciách Windowsu a upozornil, že na zneužitie je typicky potrebné otvoriť škodlivý súbor. Google rozdistribuoval záplaty pre ChromeOS a v ekosystéme Androidu priebežne prichádzajú aktualizácie cez výrobcov zariadení.

Zasiahnuté nemusia byť len telefóny a počítače s Windowsom, ale aj iné platformy, kde sa dekodér Dolby používa. Tam, kde aplikácie automaticky stiahnu a spracujú prichádzajúce multimediálne správy, môže byť riziko vyššie, pretože používateľ ani nemusí nič kliknúť. Najlepšou obranou je mať systém a multimediálne komponenty aktuálne. Používatelia by mali ponechať zapnuté automatické aktualizácie a dbať na to, aby ich zariadenie čo najskôr dostalo bezpečnostné záplaty. Výrobcovia zariadení a aplikácií by mali integrovať najnovšie verzie dekodéra, aby sa zraniteľnosť nešírila dalej. Tento prípad opäť pripomína, že aj zvukové súbory môžu byť nosičom útoku a že rýchle nasadzovanie opráv je kľúčové pre ochranu bežných používateľov.