Когда Google выпускает обновления безопасности Android?

Google публикует Android Security Bulletin в первый понедельник каждого месяца, закрывая 30-50 CVE за раз. Однако производители устройств (Samsung, Xiaomi, Huawei) выпускают патчи с задержкой от 1 до 6 месяцев — или не выпускают вовсе для устаревших моделей. Корпоративные устройства с MDM можно проверить на уровень патча безопасности: дата в формате YYYY-MM-DD показывает, до какого бюллетеня устройство обновлено.

Почему средний CVSS уязвимостей Android такой высокий?

Средний CVSS уязвимостей Android в БДУ ФСТЭК — 8.7, один из самых высоких среди всех продуктов. Причина: уязвимости Android часто затрагивают ядро Linux, Mediaserver, Bluetooth-стек и системные процессы — компоненты с максимальными привилегиями. Эксплуатация такой CVE даёт root-доступ к устройству без взаимодействия с пользователем (zero-click).

Нужно ли мониторить уязвимости Android для корпоративных устройств?

Да. Если сотрудники используют корпоративные смартфоны на Android с доступом к почте, VPN, внутренним системам или ПДн — организация обязана контролировать уровень патча безопасности (приказ ФСТЭК №21, мера АНЗ.1). SGRC-платформа КиберОснова интегрируется с MDM-системами и отслеживает версии Android на всех устройствах.

Какие CVE Android активно эксплуатируются?

Google помечает уязвимости со статусом «эксплуатируется в дикой среде» непосредственно в Android Security Bulletin. В БДУ ФСТЭК такие уязвимости имеют KEV-статус. Типичные вектора: use-after-free в ядре, переполнение буфера в Mediaserver (обработка видео/аудио), обход ограничений sandbox через Intent-механизм.

Уязвимости Android: CVE, БДУ ФСТЭК и обновления безопасности

Name: Уязвимости Android — БДУ ФСТЭК
Creator: ФСТЭК России
License: https://bdu.fstec.ru/

Уязвимости Android из реестра БДУ ФСТЭК: 2 521 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

2 521уязвимостей в БДУ

Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости Android из БДУ ФСТЭК

Последняя уязвимость: 27 февраля 2026 г.·Проверено: 5 апреля 2026 г.

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 2 521.

Уязвимость операционной системы Windows и пакета программ Microsoft Office, позволяющая нарушителю выполнить произвольный код

Уязвимость пакета программ Microsoft Office, позволяющая нарушителю внедрить произвольный код

Уязвимость пакета программ Microsoft Office, позволяющая нарушителю выполнить произвольный код

Уязвимость пакета программ Microsoft Office, позволяющая нарушителю выполнить произвольный код

Уязвимость программных платформ Flash Player и Adobe Integrated Runtime, позволяющая нарушителю выполнить произвольный код

Уязвимость функций copy_page_to_iter_pipe и push_pipe ядра операционной системы Linux, позволяющая нарушителю перезаписать содержимое страничного кэша произвольных файлов

Уязвимость пакета программ Microsoft Office, позволяющая нарушителю выполнить произвольный код

Уязвимость программы подготовки презентаций Microsoft Powerpoint, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Уязвимость текстового редактора Microsoft Word, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Уязвимость программных платформ Adobe Integrated Runtime и Flash Player, позволяющая нарушителю выполнить произвольный код

2016CVE-2016-0984

Все 2 521 уязвимостей Android в реестре Подключить мониторинг уязвимостей

Почему важно отслеживать уязвимости Android

Android — мобильная ОС с одним из самых высоких средних CVSS среди всех продуктов в БДУ ФСТЭК (8.7). Google публикует ежемесячный Android Security Bulletin с CVE, но производители устройств выпускают патчи с задержкой от 1 до 6 месяцев. Для организаций, использующих корпоративные мобильные устройства на Android (MDM-сценарии), мониторинг уязвимостей критичен: компрометация одного смартфона может дать доступ к корпоративной почте, VPN и внутренним системам. Приказ ФСТЭК №21 распространяется на мобильные устройства, обрабатывающие ПДн.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

Реестр БДУ ФСТЭК

Полный поиск по уязвимостям Android

Калькулятор CVSS v4.0

Рассчитайте критичность уязвимости

Приказ ФСТЭК №117

SLA на устранение и требования к мониторингу

Модуль БДУ ФСТЭК

Автоматический мониторинг уязвимостей Android в SGRC

FAQ

Вопросы об уязвимостях Android

Не нашли ответ? Напишите нам

Автоматизируйте мониторинг уязвимостей Android

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.