官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
2025年12月2日
谷歌发布2025年12月Android安全公告,披露了影响全球最流行移动操作系统的一系列漏洞。本次更新的重点警告包括野外活跃攻击事件,以及Android框架组件中一个可能允许远程攻击者瘫痪设备的关键漏洞。
安全补丁将分两阶段推送:2025-12-01级别涵盖Android核心组件(框架、系统),而2025-12-05级别则修复内核及供应商特定问题。
两个正遭利用的0Day漏洞
谷歌确认公告中至少有两个漏洞可能已被攻击者武器化。公告明确指出:"有迹象表明以下漏洞可能正遭受有限的针对性利用":
- CVE-2025-48633:框架组件的信息泄露漏洞
- CVE-2025-48572:框架组件的权限提升漏洞,影响Android 13至16版本
这些漏洞可使攻击者获取未授权访问或权限,通常作为入侵设备的复杂攻击链第一步。
关键远程拒绝服务漏洞
本次公告最严重的漏洞是框架组件中被标记为CVE-2025-48631的关键缺陷。该漏洞属于远程拒绝服务(DoS)问题,报告称其"可能导致远程拒绝服务且无需额外执行权限"。这意味着攻击者无需用户下载应用或点击恶意链接,即可远程使设备崩溃或失去响应。
内核级高危漏洞
公告同时强调了Android内核中受保护KVM(PKVM)和IOMMU子系统的关键缺陷,这些权限提升漏洞均被评定为"严重"级:
- CVE-2025-48623(PKVM)
- CVE-2025-48624(IOMMU)
- CVE-2025-48637(PKVM)
- CVE-2025-48638(PKVM)
受保护KVM(PKVM)是用于隔离敏感数据和代码的安全功能。攻陷该组件可使攻击者绕过设备的基础安全边界。
芯片组供应商专项修复
本次更新大量内容针对主流厂商芯片组的硬件特定漏洞,用户风险程度高度依赖其手机内部硬件配置:
- 高通:修复闭源组件中的两个关键漏洞(CVE-2025-47319、CVE-2025-47372)及多个高危问题
- 联发科:修复近20个主要影响调制解调器和IMS服务组件的高危漏洞
- 紫光展锐:修复十余个几乎全部针对调制解调器组件的高危漏洞
- Arm与Imagination:发布针对Mali和PowerVR GPU驱动程序高危问题的补丁
谷歌强烈建议用户检查设备是否已升级至2025-12-05安全补丁级别,以确保同时防护软件和硬件层面的漏洞。
参考来源:
Android Emergency: Critical DoS Flaw and 2 Exploited Zero-Days in Framework Require Immediate Patch
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)