平台
android
组件
localimageresolver
修复版本
16.0.1
16-qpr2
16-qpr2
16-qpr2
CVE-2026-0049 是一个拒绝服务 (DoS) 漏洞,存在于 Android 的 LocalImageResolver 组件中。该漏洞源于 onHeaderDecoded 函数中的资源耗尽问题,攻击者可以通过触发该漏洞导致系统资源耗尽,从而造成本地拒绝服务。该漏洞影响 Android 14–16-qpr2 版本,无需用户交互即可利用。已发布修复程序,建议升级到 16-qpr2 版本。
CVE-2026-0049 是 Android 中 LocalImageResolver.java 组件,特别是 onHeaderDecoded 函数中的一个持续性拒绝服务(DoS)漏洞。该漏洞源于处理图像时资源耗尽。本地攻击者可以利用此漏洞导致拒绝服务,从而阻止设备正常运行。无需额外权限即可利用此漏洞,且无需用户交互,从而增加了利用风险。此漏洞的严重性在于其可能扰乱设备的正常运行,影响用户体验,并可能导致设备在关键操作期间意外重启而导致数据丢失。强烈建议应用安全更新 16-qpr2 以减轻此风险。
利用 CVE-2026-0049 需要对 Android 设备具有本地访问权限。攻击者可以通过发送一系列专门设计的图像来利用此漏洞,这些图像旨在耗尽系统资源。由于不需要用户交互,因此利用可能在用户不知情的情况下悄然发生。例如,攻击者可以通过处理图像的应用程序或服务发送恶意图像。LocalImageResolver.java 中缺乏对图像标头的适当验证会导致过度资源消耗,从而导致拒绝服务。该漏洞在资源有限的设备上尤其令人担忧,因为资源耗尽可能更快发生。
漏洞利用状态
EPSS
0.01% (1% 百分位)
CVE-2026-0049 的解决方案是将 Android 设备更新到 16-qpr2 或更高版本。此更新包含解决 LocalImageResolver.java 中资源耗尽漏洞所需的修复程序。设备制造商和移动运营商应尽快部署此更新以保护其用户。此外,建议用户保持设备更新到最新的安全补丁,以确保对已知漏洞的最大保护。监控官方 Android 安全资源以获取有关此和其他漏洞的更新是一种推荐的做法。该更新更正了图像标头处理方式,从而防止过度资源消耗。
Actualice su dispositivo Android a la versión 16-qpr2 o posterior para mitigar el riesgo de denegación de servicio. Esta actualización aborda una vulnerabilidad que podría permitir a un atacante causar una denegación de servicio local agotando los recursos del sistema. Asegúrese de que su dispositivo esté configurado para recibir actualizaciones automáticas de seguridad.
漏洞分析和关键警报直接发送到您的邮箱。
拒绝服务是一种尝试使网络服务或资源对合法用户不可用的攻击。
转到设备的设置,查找“软件更新”,并检查是否有可用更新。
联系您的设备制造商或移动运营商寻求帮助。
此漏洞会影响运行 Android 16-qpr2 之前的版本的设备,并使用 LocalImageResolver.java 组件。
除非将设备更新到 16-qpr2 或更高版本,否则没有可行的替代方案。
上传你的 build.gradle 文件,立即知道是否受影响。