Google本周发布11月Android安全更新,修补二项Android漏洞,包含一个零点击的远程程序代码执行漏洞。
本月修补的二项漏洞都是位于系统(System)核心组件。其中CVE-2025-48593出在让攻击者不必取得额外权限,即可远程执行程序代码,而且不需任何用户点击等互动。本漏洞严重性被列为“最高”,影响Android 13到16。
CybersecurityNews报道,滥用这类漏洞,攻击者只要发送改造过的网络封包,或利用侧载或第三方软件平台加载恶意App。而一旦远程程序代码执行成功,Android设备可能被窃取数据、植入勒索软件或被收编为僵尸网络成员。
CVE-2025-48581则为提权(elevation of privilege,EoP)漏洞,意味攻击者可在访问设备后,进一步访问重要资讯或功能组件。本漏洞严重性被列为“高”,影响Android 16。
由于二漏洞影响的是Android核心组件,因此所有Android设备都受影响。该公司呼吁所有用户更新到最新版本Android,并检查设备是否显示为“security patch level of 2025-11-01”以上。不过要注意的是,只有Android 10以上版本的设备才能获得更新。两漏洞是否遭到滥用或存在PoC程序不得而知。
Google说,在公告后48小时会将源码修补程序发布到Android Open Source Project(AOSP)。
