A Dolby Unified Decoder-ben felfedezett, magas súlyosságú sérülékenység távoli kódfuttatást tehet lehetővé, bizonyos esetekben felhasználói interakció nélkül. A Unified Decoder egy Dolby Digital Plus (DD+) szabványra épülő szoftver/hardver komponens, amely DD+, Dolby AC-4 és egyéb hangformátumokat dolgoz fel, és alakít át lejátszható formátumokká.
A Google Project Zero kutatói, Ivan Fratric és Natalie Silvanovich által azonosított hiba egy out-of-bounds write típusú probléma, amely az úgynevezett evolution adatok feldolgozása közben aktiválható. A dekóder az evolution információt egy nagy, heap-szerű, folytonos pufferbe írja, amelyet egy nagyobb struktúra (struct) tartalmaz. A probléma abból adódik, hogy egy írás hosszának számítása integer wraparound-ként túlcsordulhat. Ennek következtében a lefoglalt puffer valós mérete kisebb lesz, és a következő írásra vonatkozó határellenőrzés hatástalanná válik.
Ez a viselkedés lehetővé teszi, hogy a struktúra későbbi mezői felülíródjanak, többek között olyan mutatók (pointerek) is, amelyek akkor kerülnek írásra, amikor a következő szinkron keretet (syncframe) dolgozza fel a dekóder. A CVE-2025-54957 azonosítón nyomon követett sérülékenység (CVSS pontszáma 7.0) rosszindulatú audio-üzenetekkel aktiválva távoli kódfuttatáshoz vezethet.
Különösen súlyos a helyzet Android rendszeren, mivel a Dolby Unified Decoder minden audio-üzenetet és mellékletet automatikusan dekódol, ezáltal a sérülékenységet felhasználói interakció nélkül, távolról is ki lehet használni. A kutató közzétett egy proof-of-concept (PoC) exploit kódot is, amely bemutatja, hogyan lehet a sebezhetőséget kihasználva folyamat-összeomlást előidézni Android-eszközökön (például Pixel 9 és Samsung S24 okostelefonokon), illetve macOS és iOS rendszereken is.
A sérülékenységet a Project Zero júniusban jelentette a Dolby Laboratories-nak, az információt pedig 90 nappal a felfedezést követően hozták nyilvánosságra, így volt idő a javítások elkészítésére.
A Microsoft az októberi Patch Kedd frissítéseiben javította a hibát, és jelezte, hogy Windows alatt a sikeres kihasználáshoz felhasználói interakció szükséges. A Google tájékoztatása szerint a javítások bekerültek a legfrissebb ChromeOS frissítésekbe is.