Компания Google выпустила ежемесячные обновления безопасности для операционной системы Android за декабрь 2025 года, устранив в общей сложности 107 брешей в защите. Наибольшее внимание специалистов привлекают две уязвимости, которые уже активно эксплуатируются хакерами в реальных условиях. Обновление, ставшее доступным в понедельник, призвано закрыть критические дыры в программном обеспечении и защитить пользователей от потенциальных атак.
Первая активно эксплуатируемая уязвимость получила идентификатор CVE-2025-48633. Эта ошибка высокой степени серьезности обнаружена в компоненте Framework и классифицируется как уязвимость раскрытия информации. Хотя технические детали атак не разглашаются в целях безопасности, наличие эксплойта делает установку патча приоритетной задачей для владельцев устройств.
Вторая проблема «нулевого дня», также имеющая статус высокой степени серьезности, отслеживается как CVE-2025-48572. Данная брешь также находится в компоненте Framework, но относится к тиру уязвимостей повышения привилегий. Google подтвердила, что обе эти ошибки в настоящее время подвергаются «ограниченной целевой эксплуатации», однако сведения о конкретных злоумышленниках и масштабах кампаний пока остаются неизвестными.
Помимо угроз нулевого дня, обновление закрывает критическую уязвимость CVE-2025-48631. Этот дефект в Framework позволяет злоумышленникам вызывать удаленный отказ в обслуживании (DoS). Особенность данной проблемы заключается в том, что для её использования атакующему не требуются дополнительные права на выполнение, что делает систему крайне уязвимой без соответствующего исправления.
Общий список из 107 исправлений затрагивает широкий спектр компонентов, включая Framework, System и Kernel самой операционной системы Android. Значительная часть патчей предназначена для оборудования сторонних производителей и партнеров экосистемы. В список затронутых вендоров вошли такие крупные компании, как Arm, Imagination Technologies, MediaTek, Qualcomm и Unison, чьи аппаратные решения интегрированы во множество современных смартфонов и планшетов.
Для обеспечения гибкости производителям устройств Google представила два уровня исправлений безопасности: от 1 декабря 2025 года и от 5 декабря 2025 года. Такое разделение позволяет вендорам быстрее устранять наиболее распространенные уязвимости, не дожидаясь полного пакета. Пользователям настоятельно рекомендуется обновить свои устройства до последнего уровня исправлений сразу же, как только программное обеспечение станет доступным для их моделей.
Нынешняя волна атак продолжает тенденцию последних месяцев. За три месяца до текущего релиза Google уже устранила две другие активно эксплуатируемые уязвимости, приводившие к локальному повышению привилегий. Речь идет об ошибке CVE-2025-38352 в ядре Linux и ошибке CVE-2025-48543 в среде выполнения Android Runtime; обе имели оценку 7.4 по шкале CVSS.
Изображение носит иллюстративный характер
Первая активно эксплуатируемая уязвимость получила идентификатор CVE-2025-48633. Эта ошибка высокой степени серьезности обнаружена в компоненте Framework и классифицируется как уязвимость раскрытия информации. Хотя технические детали атак не разглашаются в целях безопасности, наличие эксплойта делает установку патча приоритетной задачей для владельцев устройств.
Вторая проблема «нулевого дня», также имеющая статус высокой степени серьезности, отслеживается как CVE-2025-48572. Данная брешь также находится в компоненте Framework, но относится к тиру уязвимостей повышения привилегий. Google подтвердила, что обе эти ошибки в настоящее время подвергаются «ограниченной целевой эксплуатации», однако сведения о конкретных злоумышленниках и масштабах кампаний пока остаются неизвестными.
Помимо угроз нулевого дня, обновление закрывает критическую уязвимость CVE-2025-48631. Этот дефект в Framework позволяет злоумышленникам вызывать удаленный отказ в обслуживании (DoS). Особенность данной проблемы заключается в том, что для её использования атакующему не требуются дополнительные права на выполнение, что делает систему крайне уязвимой без соответствующего исправления.
Общий список из 107 исправлений затрагивает широкий спектр компонентов, включая Framework, System и Kernel самой операционной системы Android. Значительная часть патчей предназначена для оборудования сторонних производителей и партнеров экосистемы. В список затронутых вендоров вошли такие крупные компании, как Arm, Imagination Technologies, MediaTek, Qualcomm и Unison, чьи аппаратные решения интегрированы во множество современных смартфонов и планшетов.
Для обеспечения гибкости производителям устройств Google представила два уровня исправлений безопасности: от 1 декабря 2025 года и от 5 декабря 2025 года. Такое разделение позволяет вендорам быстрее устранять наиболее распространенные уязвимости, не дожидаясь полного пакета. Пользователям настоятельно рекомендуется обновить свои устройства до последнего уровня исправлений сразу же, как только программное обеспечение станет доступным для их моделей.
Нынешняя волна атак продолжает тенденцию последних месяцев. За три месяца до текущего релиза Google уже устранила две другие активно эксплуатируемые уязвимости, приводившие к локальному повышению привилегий. Речь идет об ошибке CVE-2025-38352 в ядре Linux и ошибке CVE-2025-48543 в среде выполнения Android Runtime; обе имели оценку 7.4 по шкале CVSS.
