CVE-2025-36923: Google Android中的权限提升漏洞

严重性：高 类型：漏洞 CVE编号： CVE-2025-36923

在 cn_NrmmDecoder.cpp 文件的 NrmmDecoder::DecodeSORTransparentContext 函数中，存在一处因堆缓冲区溢出而可能导致的越界写入。这可能导致远程（邻近/相邻）权限提升，且无需额外的执行权限。利用此漏洞无需用户交互。

技术摘要

CVE-2025-36923 是在 Android 内核中发现的一个漏洞，具体位于 cn_NrmmDecoder.cpp 源文件的 NrmmDecoder::DecodeSORTransparentContext 函数中。该问题源于堆缓冲区溢出，导致了越界写入操作。攻击者可以利用此内存损坏漏洞，在与设备物理或网络距离接近的情况下，无需额外执行权限或用户交互即可实现权限提升。

该漏洞存在于一个低级别内核组件中，这使其尤其危险，因为它可能破坏 Android 操作系统的核心安全机制。无需用户交互以及能够远程（邻近）提升权限的特性，显著增加了攻击面。虽然目前尚无公开的已知利用方式，但该漏洞的性质表明攻击者可能利用它来获得未经授权的访问、以提升的权限执行任意代码或绕过安全限制。该漏洞影响 Android 内核，而该内核存在于全球范围内广泛的 Android 设备上。鉴于其内核级的影响，成功利用可能导致设备完全被控制、数据被盗或安装持久性恶意软件。缺乏 CVSS 评分表明需要进行手动严重性评估，结合远程利用可能性、权限提升且无需用户交互等因素，其严重性被评估为高。组织应优先监控 Google 发布的补丁，并准备及时部署更新以降低此风险。

潜在影响

对于欧洲组织而言，CVE-2025-36923 的影响可能非常巨大，特别是对于那些大规模部署了受此漏洞影响的 Android 内核版本的智能手机、平板电脑或嵌入式系统等 Android 设备的组织。权限提升可能允许攻击者绕过安全控制、访问敏感的公司数据或安装持久性恶意软件，潜在地导致数据泄露、间谍活动或业务运营中断。金融、医疗保健、政府和关键基础设施等常常依赖 Android 设备进行通信和运营的部门尤其面临风险。利用此漏洞无需用户交互这一事实增加了攻击成功的可能性，即使是对警惕性高的用户也是如此。此外，邻近性要求意味着攻击者可以在设备物理上可访问或连接到本地网络的环境中（如办公室、公共交通工具或会议场所）利用该漏洞。这可能助长针对高价值个人或组织的针对性攻击。目前野外尚无已知的利用方式，这为主动防御提供了一个窗口期，但组织不应延迟缓解措施。未能解决此漏洞可能导致重大的声誉损害、因数据泄露而面临 GDPR 的监管罚款以及运营中断。

缓解建议

1. 监控官方的 Google 安全公告和 Android 安全公告，查找针对 CVE-2025-36923 的补丁，并在发布后立即应用。
2. 实施网络分段和访问控制，以限制设备暴露给潜在的恶意邻近攻击者，尤其是在公共或半公共环境中。
3. 执行严格的物理安全策略，以降低攻击者接近设备的风险。
4. 采用移动设备管理 (MDM) 解决方案，以确保及时部署安全更新并监控设备完整性。
5. 限制可能利用内核漏洞的不受信任或未知应用程序的使用。
6. 对组织内的 Android 设备进行定期安全审计和漏洞评估，以检测被入侵的迹象。
7. 教育员工了解物理邻近攻击的风险，并鼓励报告可疑活动。
8. 考虑部署能够在 Android 设备上监控内核级异常的端点检测与响应 (EDR) 工具。
9. 与设备制造商和服务提供商合作，确保设备能及时收到安全更新。
10. 制定专门针对移动设备上潜在内核级安全事件的应急响应计划。

受影响国家

德国、法国、英国、意大利、西班牙、荷兰、瑞典、比利时、波兰、芬兰

来源： CVE 数据库 V5 发布日期： 2025年12月11日 星期四