CVE-2025-21043: Samsung corrige falha zero‑day crítica
Samsung corrigiu a CVE-2025-21043 em 12/09, liberando o SMR de setembro para aparelhos Android 13–16 após ataques ativos. Classificada com CVSS 8.8, a falha permitia execução remota de código via out-of-bounds write no componente libimagecodec.quram.so, uma biblioteca fechada de parsing de imagens da Quramsoft.
A vulnerabilidade foi reportada de forma privada em 13/08/2025 e, segundo a Samsung, já havia exploit em circulação. O patch, incluído no Samsung Mobile Security Update (SMR) Sep‑2025 Release 1, corrige uma implementação incorreta capaz de ser acionada remotamente e levar à tomada de controle do dispositivo.
Tabela de conteúdos
O que é a CVE-2025-21043 e por que ela importa
A CVE-2025-21043 é uma vulnerabilidade de out-of-bounds write no arquivo libimagecodec.quram.so, parte de uma biblioteca proprietária de processamento de imagens mantida pela Quramsoft, utilizada em dispositivos Galaxy. Em termos práticos, um erro de gravação fora dos limites de memória pode permitir que código malicioso seja injetado e executado com os privilégios do processo afetado, levando a execução remota de código (RCE). Segundo a Samsung, antes do SMR Sep‑2025 Release 1 era possível acionar o bug remotamente; por isso, o caso foi classificado como zero‑day e como severidade crítica (CVSS 8.8).
O componente vulnerável é responsável por interpretar formatos de imagem. Embora a Samsung não tenha divulgado vetores específicos de exploração, bugs dessa classe costumam ser exploráveis ao processar imagens vindas de apps, navegadores ou serviços de mensagens. Até o momento, a empresa confirma apenas que “um exploit para este problema existia em ambiente real”.
- Identificador: CVE-2025-21043
- Componente afetado: libimagecodec.quram.so
- Severidade (CVSS): 8.8 (alta/crítica)
- Tipo: out-of-bounds write → possível RCE
- Status: corrigido no SMR Sep‑2025 Release 1
Quem é afetado e versões impactadas
A Samsung informa que o problema afeta dispositivos executando Android 13, 14, 15 e 16 dentro do ecossistema Galaxy, antes da aplicação do pacote SMR Sep‑2025 Release 1. Em outras palavras, aparelhos elegíveis a esse ciclo de atualização devem aplicar o patch assim que ele estiver disponível regionalmente. O cronograma de distribuição varia por modelo, região, operadora e lote de firmware.
| Item | Detalhe |
| Divulgação privada | 13 de agosto de 2025 |
| Lançamento do patch | SMR Sep‑2025 Release 1 |
| Severidade (CVSS) | 8.8 (alta/crítica) |
| Plataformas | Android 13, 14, 15 e 16 (Galaxy) |
Como atualizar seu Samsung agora
- Abra Configurações > Atualização de software.
- Toque em Baixar e instalar e aguarde a verificação.
- Se disponível, aplique o patch de segurança de setembro/2025 (SMR Release 1).
- Reinicie o aparelho e confirme o nível do patch em Sobre o telefone > Informações do software.
- Se não aparecer, tente novamente mais tarde: a liberação é gradual por região/modelo.
Boas práticas: faça backup antes da atualização; evite redes públicas durante o download; mantenha a Play Protect ativa; e desconfie de anexos/imagens de origem desconhecida até aplicar o patch.
O que disseram Samsung e Google
“Out-of-bounds Write em libimagecodec.quram.so antes do SMR Sep‑2025 Release 1 permite que invasores remotos executem código arbitrário. O patch corrigiu a implementação incorreta.”
Boletim de Segurança Samsung — SMR Sep‑2025
Embora a Samsung não tenha divulgado detalhes operacionais do exploit ou sua autoria, a empresa reconheceu “exploração em ambiente real”. O anúncio ocorre logo após o Google informar a correção de duas falhas do Android (CVE-2025-38352 e CVE-2025-48543) usadas em ataques direcionados — reforçando a necessidade de atualização imediata.
Entendendo a falha: out-of-bounds write
Erros de out-of-bounds write acontecem quando o software grava dados além do espaço de memória alocado. Em bibliotecas de imagem, isso pode ser explorado com arquivos especialmente criados para corromper memória e, com as condições certas, injetar payloads que executam código arbitrário. Em 2020, uma série de pesquisas do Google Project Zero mostrou caminhos práticos para acionar bugs de parsing de imagem, destacando porque tais componentes devem ser isolados, atualizados e auditados com rigor.
- Risco principal: execução remota de código (RCE)
- Superfície de ataque: processamento de imagens
- Exploração: confirmada “na natureza”, sem detalhes públicos
- Mitigação: aplicar SMR Sep‑2025 Release 1
Contexto e possíveis desdobramentos
Vulnerabilidades em bibliotecas de mídia historicamente atraem atores maliciosos porque oferecem gatilhos remotos e, às vezes, sem interação do usuário. O fato de a CVE-2025-21043 ter sido explorada antes do patch sugere alto valor operacional. Até que detalhes técnicos sejam divulgados, equipes de segurança corporativa devem considerar controles compensatórios: filtragem de anexos, inspeção de tráfego, MDM para impor atualizações, e monitoramento de telemetria em dispositivos móveis.
Para usuários finais, a orientação é clara: atualizar imediatamente. Em ambientes BYOD, comunique políticas e prazos; em parques 100% corporativos, priorize modelos com maior exposição a dados sensíveis. Acompanhe o boletim oficial da Samsung para confirmações de versão e eventuais Release 2 corretivos.
Pontos‑chave
- CVE-2025-21043 corrigida no SMR Sep‑2025 Release 1.
- Falha é um out-of-bounds write com RCE possível.
- Exploit em uso confirmado pela Samsung.
- Afeta Galaxy em Android 13–16 antes do patch.
- Sem vetores públicos detalhados; aplique a atualização.
Fontes e validação
- Samsung Mobile Security — Boletim SMR Sep‑2025
- CVE — CVE-2025-21043
- Google Project Zero — Introdução ao parsing de imagens (Qmage)
- The Hacker News — Zero-days recentes no Android
O que é a CVE-2025-21043?
Resposta direta: falha de out-of-bounds write em libimagecodec.quram.so com risco de execução remota de código. Expansão: o bug afeta parsing de imagens em dispositivos Galaxy e foi corrigido no SMR Sep‑2025 Release 1. Validação: CVSS 8.8 e referência no boletim oficial da Samsung e registro CVE.
Quais aparelhos/versões são afetados?
Resposta direta: Galaxy com Android 13, 14, 15 e 16 antes do SMR Sep‑2025 Release 1. Expansão: a distribuição do patch varia por modelo, região e operadora; verifique o nível de patch de segurança. Validação: confira o boletim da Samsung e as notas do firmware do seu dispositivo.
Como atualizar meu Samsung agora?
Resposta direta: Configurações > Atualização de software > Baixar e instalar. Expansão: aplique o patch de setembro/2025, reinicie e confirme o nível do patch. Validação: consulte o SMR Sep‑2025 Release 1 e a tela ‘Informações do software’.
A falha está sendo explorada ativamente?
Resposta direta: sim, a Samsung confirmou exploit ‘na natureza’. Expansão: detalhes de vetor/autor não foram divulgados até o momento. Validação: citação do boletim de segurança da Samsung e cobertura correlata sobre zero-days recentes no Android.
Considerações finais
A CVE-2025-21043 reforça o papel crítico das bibliotecas de mídia na superfície de ataque móvel e a importância de resposta rápida a zero‑days. Sem detalhes públicos do exploit, a defesa mais eficaz é aplicar imediatamente o SMR Sep‑2025 Release 1 e manter práticas de higiene digital. Para equipes corporativas, vale monitorar a evolução do boletim e preparar comunicações de atualização assistida para colaboradores com dispositivos Galaxy.
