官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
针对近期发现的被积极利用的零日漏洞(0-day vulnerabilities),谷歌发布了2025年9月安卓安全公告,推出补丁级别2025-09-05以保护数百万设备安全。该公告详细说明了系统和内核组件中的关键问题,并强调立即更新以缓解远程代码执行风险的重要性。
核心要点
- 补丁2025-09-05修复了CVE-2025-38352(零交互远程代码执行)和CVE-2025-48543(内核权限提升)
- 系统漏洞无需用户操作即可触发;内核漏洞可获取root权限
- 建议立即更新;AOSP源码将在48小时内发布
关键系统组件远程代码执行漏洞
本次更新的重点修复对象是CVE-2025-38352,这是安卓系统组件中存在的一个零交互漏洞,允许攻击者在无需任何提升权限的情况下实现远程(邻近/相邻)代码执行。
谷歌将该漏洞评估为"严重"级别,指出成功利用该漏洞可使攻击者完全控制受影响设备,即使在开发环境中启用了平台和服务缓解措施的情况下也是如此。触发该漏洞无需用户进行任何操作,例如点击链接或打开文件。
CVE-2025-38352的源代码补丁现已发布在安卓开源项目(AOSP)代码库中。谷歌计划在公告发布后48小时内更新AOSP直接链接。
高危权限提升漏洞
另一个补丁针对CVE-2025-48543,这是安卓内核中的一个权限提升(EoP)漏洞。该漏洞被评为"高危"级别,可能允许本地代码获取root级权限,绕过SELinux策略和其他内核级安全保护措施。
受影响版本包括安卓13、14、15和16。谷歌已提前一个多月向合作伙伴通报了这两个问题,确保原始设备制造商(OEM)能将必要的内核补丁集成到即将发布的设备更新中。
| CVE编号 | 漏洞描述 | 严重等级 |
|---|---|---|
| CVE-2025-38352 | 系统组件中的远程(邻近/相邻)代码执行漏洞,零交互 | 严重 |
| CVE-2025-48543 | 内核权限提升漏洞,可绕过SELinux获取root权限 | 高危 |
强烈建议用户验证其补丁级别至少为2025-09-05,并立即应用更新。谷歌已向安卓合作伙伴通报情况,AOSP源代码更新也将很快发布。
这一协调行动彰显了谷歌对主动漏洞管理和快速响应新兴威胁的承诺。用户和设备制造商都应优先考虑此次更新,以维护安卓安全态势的完整性。
参考来源:
Android Security Update – Patch for 0-Day Vulnerabilities Actively Exploited in Attack
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)