Google 在 12 月 1 日發布 Android 作業系統的每月安全更新,共修補了 107 個安全漏洞,其中兩個已在實際攻擊中被利用。
本次安全更新涵蓋多個元件的漏洞,包括框架(Framework)、系統(System)、核心(Kernel),以及 Arm、Imagination Technologies、聯發科、高通和紫光展銳等第三方廠商的元件。
2個高風險漏洞已遭利用
以下兩個高嚴重性漏洞被標記為「可能遭受有限且針對性攻擊利用」:
- CVE-2025-48633:Android 框架中的資訊洩露(Information Disclosure)漏洞
- CVE-2025-48572:Android 框架中的權限提升(Elevation of Privilege)漏洞
這兩個漏洞都影響 Android 框架元件。該框架是一組核心軟體元件、函式庫和 API 的集合,開發者用來建立 Android 應用程式。
CVE-2025-48633 讓 Android 應用程式能存取敏感資訊,而
CVE-2025-48572 則可能讓攻擊者在易受攻擊的 Android 裝置上提升權限。兩個漏洞皆影響 Android 13、14、15 和 16 版本。
由於威脅嚴重,美國網路安全暨基礎設施安全局(CISA)在 12 月 2 日將這兩個漏洞加入已知被利用漏洞(KEV)目錄,要求聯邦民間行政部門(FCEB)機構必須在 12 月 23 日前完成修補。
此外,Google 也修補了框架元件中的關鍵漏洞
CVE-2025-48631。
此漏洞可能導致遠端阻斷服務攻擊(Denial-of-Service, DoS),且無需額外執行權限即可利用。
分階段修補策略
本次 12 月安全公告採用兩個修補等級:2025-12-01 和 2025-12-05。這種做法讓裝置製造商能靈活地優先處理所有 Android 裝置的常見漏洞。
2025-12-01 修補等級包含 51 個漏洞,其中 37 個影響 Android 框架,14 個影響系統元件。2025-12-05 修補等級則涵蓋另外 56 個影響 Android 核心或第三方元件的漏洞。
各 Android 裝置製造商通常會在 Google 發布每月安全公告後約一個月內推出安全更新。三星已為主要旗艦機型推出維護更新,包含 Google 和三星的修補程式,其中涵蓋 CVE-2025-48633 的修補。摩托羅拉同樣在 12 月修補了 CVE-2025-48633。華為、LG、諾基亞、Oppo 等廠商預計也將很快釋出修補程式。
此次安全更新距離 Google 上次修補已遭利用的漏洞僅三個月。今年 9 月,該公司修補了兩個漏洞:
Linux 核心中的 CVE-2025-38352(CVSS 評分 7.4)和
Android Runtime 中的 CVE-2025-48543(CVSS 評分 7.4)。這兩個漏洞都可能導致本地權限提升,且當時同樣遭到實際攻擊利用。
防護建議
資安專家建議 Android 使用者立即採取以下行動:
- 檢查裝置是否有可用的安全更新
- 盡快將裝置更新至最新的修補等級
- 密切關注裝置製造商的安全公告
- 只從官方應用程式商店下載應用程式
- 避免安裝來路不明的 APK 檔案
這些漏洞已遭實際利用,涉及權限提升和資訊洩露等嚴重問題。使用者應優先更新裝置,以保護個人資料和裝置安全。
本文轉載自 TheHackerNews、InfosecurityMagazine、HelpNetSecurity。