谷歌近日发布2025年9月安卓安全公告,本次更新修复了系统内大量漏洞。运行Android 10及更高版本且已安装2025-09-05安全补丁的设备将获得全面保护。
本月公告涉及安卓框架、系统、内核以及联发科、高通和Arm供应商组件的数十个漏洞。谷歌特别指出:”其中最严重的是系统组件中的关键安全漏洞,可导致远程(近场/相邻)代码执行,且无需额外权限,利用过程无需用户交互。”
两个漏洞已被发现遭主动利用:
-
CVE-2025-38352(CVSS 7.4分):Linux内核posix-cpu-timers中的竞态条件漏洞,攻击者可在特定时序场景下引发内核不稳定或拒绝服务。谷歌确认该漏洞正被用于”有限范围的定向攻击”。
-
CVE-2025-48543(高危级):安卓运行时(ART)中的本地权限提升漏洞,无需用户交互即可利用。虽然技术细节未公开,但谷歌已观测到在野利用尝试。
本月修复的其他关键漏洞包括:
-
CVE-2025-48539(关键级,系统组件):系统组件中的远程代码执行(RCE)漏洞,无需用户交互即可被邻近范围(如Wi-Fi或蓝牙覆盖范围内)的攻击者完全控制设备。
-
多个高通闭源组件漏洞被评为关键级(包括CVE-2025-21450、CVE-2025-21483和CVE-2025-27034),这些漏洞影响调制解调器、DSP和内核模块等专有子系统,可能导致远程代码执行或完全系统沦陷。
其他修复的高危漏洞涵盖:
-
框架中的权限提升漏洞(如CVE-2025-32324、CVE-2025-48552)
-
系统组件中的拒绝服务问题(如CVE-2025-48550、CVE-2025-48559)
-
第三方组件漏洞(包括Arm的Mali GPU、Imagination的PowerVR和联发科调制解调器堆栈)
鉴于多个关键漏洞影响系统和供应商组件,安卓用户(特别是处理敏感数据的用户)应立即安装最新安全更新。谷歌强调,源代码补丁将在48小时内发布至安卓开源项目(AOSP),确保透明度并加速设备制造商的修复推送。
发表评论
您还未登录,请先登录。
登录