Plataforma
android
Componente
localimageresolver
Corrigido em
16.0.1
16-qpr2
16-qpr2
16-qpr2
A vulnerabilidade CVE-2026-0049 é um problema de Denial of Service (DoS) identificado no componente LocalImageResolver. Essa falha ocorre devido ao esgotamento de recursos, permitindo que um atacante cause uma negação de serviço local sem a necessidade de privilégios adicionais ou interação do usuário. As versões afetadas incluem 14–16-qpr2, e uma correção foi disponibilizada na versão 16-qpr2.
CVE-2026-0049 é uma vulnerabilidade de negação de serviço persistente (DoS) no Android, identificada no componente LocalImageResolver.java, especificamente na função onHeaderDecoded. A vulnerabilidade surge devido ao esgotamento de recursos ao processar imagens. Um atacante local poderia explorar esta falha para causar uma negação de serviço, impedindo que o dispositivo funcione corretamente. Não são necessários privilégios adicionais para a exploração, e a interação do usuário não é necessária, aumentando o risco de exploração. A gravidade desta vulnerabilidade reside em seu potencial para interromper a operação normal do dispositivo, afetando a experiência do usuário e potencialmente causando perda de dados se o dispositivo reiniciar inesperadamente durante uma operação crítica. Recomenda-se fortemente aplicar a atualização de segurança 16-qpr2 para mitigar este risco.
A exploração de CVE-2026-0049 requer acesso local ao dispositivo Android. Um atacante poderia explorar esta vulnerabilidade enviando uma sequência de imagens especialmente projetadas para esgotar os recursos do sistema. Devido ao fato de que a interação do usuário não é necessária, a exploração pode ocorrer silenciosamente e sem o conhecimento do usuário. O atacante poderia, por exemplo, enviar imagens maliciosas através de um aplicativo ou serviço que processe imagens. A falta de validação adequada dos cabeçalhos das imagens em LocalImageResolver.java permite que se consumam recursos excessivos, levando a uma negação de serviço. A vulnerabilidade é particularmente preocupante em dispositivos com recursos limitados, onde o esgotamento de recursos pode ocorrer mais rapidamente.
Status do Exploit
EPSS
0.01% (percentil 1%)
A solução para CVE-2026-0049 é atualizar o dispositivo Android para a versão 16-qpr2 ou posterior. Esta atualização inclui as correções necessárias para abordar a vulnerabilidade de esgotamento de recursos em LocalImageResolver.java. Fabricantes de dispositivos e operadoras de telefonia móvel devem implementar esta atualização o mais rápido possível para proteger seus usuários. Além disso, recomenda-se aos usuários manter seus dispositivos atualizados com as últimas atualizações de segurança para garantir a máxima proteção contra vulnerabilidades conhecidas. Monitorar as fontes oficiais de segurança do Android para obter informações atualizadas sobre esta e outras vulnerabilidades é uma prática recomendada. A atualização corrige a forma como os cabeçalhos das imagens são tratados, prevenindo o consumo excessivo de recursos.
Actualice su dispositivo Android a la versión 16-qpr2 o posterior para mitigar el riesgo de denegación de servicio. Esta actualización aborda una vulnerabilidad que podría permitir a un atacante causar una denegación de servicio local agotando los recursos del sistema. Asegúrese de que su dispositivo esté configurado para recibir actualizaciones automáticas de seguridad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Uma negação de serviço é um ataque que tenta fazer com que um serviço ou recurso de rede não esteja disponível para seus usuários legítimos.
Vá para as configurações do seu dispositivo, procure por 'Atualização de software' e verifique se há atualizações disponíveis.
Entre em contato com o fabricante do seu dispositivo ou com sua operadora de telefonia móvel para obter ajuda.
A vulnerabilidade afeta dispositivos que executam versões do Android anteriores à 16-qpr2 e que utilizam o componente LocalImageResolver.java.
Não há uma solução alternativa viável sem atualizar o dispositivo para a versão 16-qpr2 ou posterior.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo build.gradle e descubra na hora se você está afetado.