#系统资讯 谷歌向 Android 发布 120 个补丁更新修复多个安全漏洞和其他错误，其中包含 2 个高危漏洞且已经遭到黑客利用。谷歌透露相关漏洞被某个监控软件公司进行有限的、有针对性的利用，不过这个监控软件公司具体是谁谷歌没透露。查看全文：https://ourl.co/110527

谷歌目前已经向 Android 系统发布 2025-09 的例行安全更新，此次更新谷歌合计发布 120 个补丁用来修复安全漏洞和其他错误，其中包含 2 个已经被黑客利用的高危漏洞。

在发布公告中谷歌称这些漏洞可能受到有限的、有针对性的攻击，但谷歌没有透露谁在利用漏洞或者如何利用漏洞，但谷歌的措辞似乎是暗示某个监控软件公司正在利用漏洞进行攻击。

多伦多大学著名的漏洞发现机构公民实验室称尚未发现任何人利用这些漏洞，不过香港计算机应急响应小组发布警告呼应了谷歌的公告，即存在有限的、有针对性的漏洞利用迹象。

漏洞 1：CVE-2025-38352

该漏洞属于 Linux Kernel 中的内核漏洞，该漏洞最初是在 2025 年 7 月 22 日被披露的，已经在内核 6.12.35-1 及后续版本中修复。

具体的漏洞原因是 POSIX CPU 计时器中存在的竞争条件，该问题导致任务清理中断和内核不稳定，可能导致崩溃、拒绝服务和权限提升等。

漏洞 2：CVE-2025-48543

该漏洞位于 Android Runtime 中，Java/Kotlin 应用和系统服务需要使用 Android Runtime 执行，漏洞允许恶意应用程序绕过沙盒限制并访问更高级别的系统功能。

其他漏洞还涉及到高通的专有组件，例如网络堆栈中的漏洞，不过这些漏洞目前没有被利用的迹象，而上面提到的漏洞则可能已经被黑客集团武器化用于发起针对性攻击。

谷歌会向 Pixel 系列设备推送更新修复这些漏洞，其他 OEM 则需要自行获取补丁并进行适配，因此可能大多数安卓设备暂时无法获得更新，需要等待 OEM 适配后发布。

还有个问题是很多安卓设备已经被 OEM 放弃不再提供更新，这些设备长期缺乏更新因此已经存在大量的已知漏洞，对用户来说安装 Google Play Protect 算是变通方法，可以稍微提高安全性。