HackerNews 编译,转载请注明出处:
安卓Runtime(CVE-2025-48543)和Linux内核(CVE-2025-38352)中的提权漏洞已在针对性攻击中被利用。
谷歌本周发布了2025年9月的安卓补丁集,共修复了111个独特的CVE漏洞,其中包括被利用的零日漏洞。
这两个被利用的漏洞都是提权问题,分别影响安卓Runtime(CVE-2025-48543)和Linux内核(CVE-2025-38352)。
“有迹象表明以下漏洞可能正在受到有限的针对性利用:CVE-2025-38352、CVE-2025-48543,”谷歌的公告中写道。
Linux内核漏洞的修复已于7月宣布,该漏洞与POSIX CPU计时器的处理有关,存在竞争条件。所有主要发行版似乎都已修复了该漏洞。
尽管在谷歌发出最新警告之前没有关于该漏洞被利用的报告,但该漏洞是由谷歌威胁分析小组(TAG)的Benoît Sevens报告的,这表明它可能在间谍软件攻击中被利用。
谷歌的公告没有提供关于安卓运行时安全缺陷的详细信息,除了它影响安卓开源项目(AOSP)13、14、15和16版本。
安卓Runtime零日漏洞已在2025-09-01安全补丁级别中得到解决,该补丁级别还解决了框架、系统和Widevine DRM中的其他58个漏洞。
谷歌警告说,其中最严重的是系统组件中的一个高危远程代码执行缺陷(CVE-2025-48539),该缺陷可以在不需要额外权限的情况下被利用。
更新到2025-09-05安全补丁级别的设备还将获得Linux内核漏洞的修复,以及影响Linux内核和Arm、Imagination Technologies、联发科、高通组件的其他51个问题的修复。
本月,谷歌为Pixel设备发布了一轮新的安全更新,解决了这些设备特有的23个漏洞,以及安卓2025年9月安全公告中识别的所有漏洞。
安卓公告中描述的所有漏洞也已通过Wear OS、Pixel Watch和汽车操作系统更新得到解决。Wear OS和Pixel Watch更新分别包含针对另外两个和一个安全缺陷的修复。
建议用户在其设备可用2025-09-05安全补丁级别时尽快进行更新。
消息来源:securityweek;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
