Google 发布了 2025 年 12 月的 Android 安全公告,详细介绍了影响全球最流行移动操作系统的一系列漏洞。本次更新的重点在于警告这些漏洞已在野外被主动利用,以及 Android 框架中一个可能允许远程攻击者禁用设备的关键漏洞。
安全补丁分两个阶段推出:2025-12-01 级别涵盖核心 Android 组件(框架、系统),而 2025-12-05 级别则解决内核和供应商特定的问题。
Google 已确认此公告中列出的至少两个漏洞很可能已被攻击者武器化。公告明确指出,“有迹象表明以下漏洞可能正在受到有限的、有针对性的利用。”
- CVE-2025-48633:框架组件中的一个信息泄露漏洞。
- CVE-2025-48572:框架中的一个权限提升漏洞,影响 Android 13、14、15 和 16 版本。
这些漏洞使攻击者能够获得未经授权的访问或权限,通常是复杂攻击链中入侵设备的第一步。
12 月公告中最严重的漏洞是框架组件中的一个关键漏洞,编号为 CVE-2025-48631。 该漏洞是一个远程拒绝服务问题。根据报告,它“可能导致远程拒绝服务,且无需额外的执行权限”。这意味着攻击者可以远程使设备崩溃或失去响应,而无需用户下载应用程序或点击恶意链接。
公告还强调了 Android 内核中的关键漏洞,特别是在受保护的 KVM 和 IOMMU 子系统中。这些权限提升漏洞被评为严重级别:
- CVE-2025-48623
- CVE-2025-48624
- CVE-2025-48637
- CVE-2025-48638
受保护的 KVM 是用于隔离敏感数据和代码的安全功能。攻破此组件可能允许攻击者绕过设备上的基本安全边界。
本次更新的很大一部分针对在主要供应商的芯片组中发现的具体硬件漏洞。用户的风险在很大程度上取决于其手机内的特定硬件。
- 高通:修复了闭源组件中的两个关键漏洞以及多个高危问题。
- 联发科:解决了近 20 个主要影响调制解调器和 IMS 服务组件的高危漏洞。
- 紫光展锐:修复了十几个几乎完全针对调制解调器组件的高危漏洞。
- Arm & Imagination:为 Mali 和 PowerVR GPU 驱动程序中的高危问题发布了补丁。
强烈建议用户检查并应用 2025-12-05 级别的安全补丁,以确保同时防范软件和硬件漏洞。