谷歌修复107个安卓漏洞，包括两个野外被利用的框架漏洞

谷歌于周一发布了安卓操作系统的月度安全更新，其中包含两个据称已在野外被利用的漏洞。

此次补丁总共解决了分布在不同组件的107个安全缺陷，涉及的组件包括框架（Framework）、系统（System）、内核（Kernel），以及来自Arm、Imagination Technologies、联发科（MediaTek）、高通（Qualcomm）和Unison 的组件。

已被利用的两个高风险缺陷如下：

• CVE-2025-48633 - 框架中的一个信息泄露漏洞
• CVE-2025-48572 - 框架中的一个权限提升漏洞

按照惯例，谷歌没有发布关于利用这些漏洞的攻击性质的任何额外细节，例如这些漏洞是被串联使用还是单独使用，以及攻击的规模。目前尚不清楚谁是这些攻击的幕后黑手。

然而，这家科技巨头在其公告中承认，有迹象表明它们 “可能正遭到有限的、有针对性的利用”。

作为2025年12月更新的一部分，谷歌还修复了框架组件中的一个高危漏洞（CVE-2025-48631），该漏洞可能导致远程拒绝服务（DoS），且不需要额外的执行权限。

12月的安全公告包含两个补丁级别，即 2025-12-01 和 2025-12-05，这使得设备制造商能够更灵活、快速地解决在所有安卓设备上都类似的一部分漏洞。建议用户在补丁发布后尽快将设备更新到最新的补丁级别。

此次更新是在该公司发布补丁修复**Linux内核（CVE-2025-38352，CVSS评分：7.4）和Android运行时（CVE-2025-48543，CVSS评分：7.4）**中两个可导致本地权限提升的、已被主动利用的漏洞三个月后进行的。