В сентябре 2025 года компания Google выпустила плановое обновление безопасности для операционной системы Android, в рамках которого было устранено 120 уязвимостей. Центральным элементом этого обновления стало исправление двух брешей нулевого дня, которые, по подтверждению Google, уже находились в состоянии «ограниченной, целенаправленной эксплуатации» злоумышленниками.
Две активно эксплуатируемые уязвимости относятся к классу повышения привилегий. Это означает, что атакующие могли использовать их для получения расширенного контроля над скомпрометированной системой. Первая уязвимость получила идентификатор CVE-2025-38352, вторая — CVE-2025-48543. Google воздержалась от раскрытия информации о том, как именно эти бреши использовались в атаках и применялись ли они совместно.
Уязвимость CVE-2025-38352 затрагивает ядро Linux, являющееся основой Android. Ей присвоен рейтинг опасности 7.4 по шкале CVSS. Вторая уязвимость, CVE-2025-48543, обнаружена в компоненте Android Runtime, отвечающем за исполнение приложений. Ее рейтинг CVSS на момент публикации не был определен.
Общей и наиболее опасной характеристикой обеих уязвимостей является их способность приводить к локальному повышению привилегий без необходимости получения дополнительных разрешений на исполнение. Более того, для их эксплуатации не требуется никакого взаимодействия с пользователем, что делает атаки на их основе особенно скрытными и эффективными.
За обнаружение и информирование об уязвимости в ядре Linux (CVE-2025-38352) ответственен специалист Бенуа Севенс (Benoît Sevens) из подразделения Google Threat Analysis Group (TAG). Это подразделение специализируется на отслеживании и противодействии сложным и государственным киберугрозам.
Участие Threat Analysis Group в расследовании косвенно указывает на то, что данные уязвимости могли использоваться в целевых атаках для развертывания шпионского программного обеспечения. Такие инструменты часто применяются для слежки за журналистами, активистами и другими лицами, представляющими интерес для спецслужб.
Помимо двух эксплойтов нулевого дня, сентябрьское обновление устранило множество других угроз, включая уязвимости, позволяющие удаленно выполнять код, раскрывать информацию и вызывать отказ в обслуживании (DoS). Проблемы были исправлены в ключевых компонентах операционной системы, таких как Framework и System.
Google выпустила исправления в виде двух отдельных уровней безопасности: 2025-09-01 и 2025-09-05. Такой подход предоставляет «партнерам Android», то есть производителям устройств, гибкость для более быстрого развертывания критических исправлений для наиболее распространенных уязвимостей.
Официальная рекомендация компании гласит: «Партнерам Android настоятельно рекомендуется устранить все проблемы, описанные в этом бюллетене, и использовать самый последний уровень исправлений безопасности».
Эта ситуация перекликается с событиями месяцем ранее. В августе 2025 года Google также выпускала экстренные исправления для двух активно эксплуатируемых уязвимостей, но на этот раз они были обнаружены в компонентах чипмейкера Qualcomm. Эти уязвимости, CVE-2025-21479 и CVE-2025-27038, имели рейтинг опасности 8.6 и 7.5 соответственно.
Изображение носит иллюстративный характер
Две активно эксплуатируемые уязвимости относятся к классу повышения привилегий. Это означает, что атакующие могли использовать их для получения расширенного контроля над скомпрометированной системой. Первая уязвимость получила идентификатор CVE-2025-38352, вторая — CVE-2025-48543. Google воздержалась от раскрытия информации о том, как именно эти бреши использовались в атаках и применялись ли они совместно.
Уязвимость CVE-2025-38352 затрагивает ядро Linux, являющееся основой Android. Ей присвоен рейтинг опасности 7.4 по шкале CVSS. Вторая уязвимость, CVE-2025-48543, обнаружена в компоненте Android Runtime, отвечающем за исполнение приложений. Ее рейтинг CVSS на момент публикации не был определен.
Общей и наиболее опасной характеристикой обеих уязвимостей является их способность приводить к локальному повышению привилегий без необходимости получения дополнительных разрешений на исполнение. Более того, для их эксплуатации не требуется никакого взаимодействия с пользователем, что делает атаки на их основе особенно скрытными и эффективными.
За обнаружение и информирование об уязвимости в ядре Linux (CVE-2025-38352) ответственен специалист Бенуа Севенс (Benoît Sevens) из подразделения Google Threat Analysis Group (TAG). Это подразделение специализируется на отслеживании и противодействии сложным и государственным киберугрозам.
Участие Threat Analysis Group в расследовании косвенно указывает на то, что данные уязвимости могли использоваться в целевых атаках для развертывания шпионского программного обеспечения. Такие инструменты часто применяются для слежки за журналистами, активистами и другими лицами, представляющими интерес для спецслужб.
Помимо двух эксплойтов нулевого дня, сентябрьское обновление устранило множество других угроз, включая уязвимости, позволяющие удаленно выполнять код, раскрывать информацию и вызывать отказ в обслуживании (DoS). Проблемы были исправлены в ключевых компонентах операционной системы, таких как Framework и System.
Google выпустила исправления в виде двух отдельных уровней безопасности: 2025-09-01 и 2025-09-05. Такой подход предоставляет «партнерам Android», то есть производителям устройств, гибкость для более быстрого развертывания критических исправлений для наиболее распространенных уязвимостей.
Официальная рекомендация компании гласит: «Партнерам Android настоятельно рекомендуется устранить все проблемы, описанные в этом бюллетене, и использовать самый последний уровень исправлений безопасности».
Эта ситуация перекликается с событиями месяцем ранее. В августе 2025 года Google также выпускала экстренные исправления для двух активно эксплуатируемых уязвимостей, но на этот раз они были обнаружены в компонентах чипмейкера Qualcomm. Эти уязвимости, CVE-2025-21479 и CVE-2025-27038, имели рейтинг опасности 8.6 и 7.5 соответственно.
