<p>根据谷歌 12 月的 Android 安全公告，两项高严重性 Android 漏洞在谷歌发布修复之前被利用为零日漏洞。</p>
<p>这两个漏洞分别是 CVE-2025-48633，这是 Android 框架组件中的信息泄露缺陷，以及 CVE-2025-48572，这是同样在框架组件中的权限提升漏洞。两者均被评为高严重性，谷歌表示，这两个漏洞 “可能受到有限的、有针对性的利用。”</p>
<p>这两个漏洞以及另外 105 个安全漏洞都有补丁，因此尽快更新你的 Android 软件是个好主意。</p>
<p>谷歌没有提供关于谁在利用这些漏洞的细节，也没有说明目的，但我们知道商业间谍软件和政府支持的攻击者喜欢利用这些类型的移动设备零日漏洞进行窃听。</p>
<p>这个最新的零日漏洞是在谷歌上个月为一个高严重性 Chrome 漏洞发布紧急补丁之后出现的，该漏洞已经被攻击者发现并在野外利用。</p>
<p>该漏洞被追踪为 CVE-2025-13223，是 V8 JavaScript 引擎中的一种类型混淆缺陷，这标志着今年第七个 Chrome 零日漏洞。所有这些漏洞都已被修复。</p>
<ul>
<li>谷歌 Chrome 漏洞被利用为零日 - 现在修补或面临系统完全被攻陷的风险</li>
<li>Fortinet 承认在一周内出现第二个零日漏洞</li>
<li>隐秘的浏览器扩展在感染 430 万 Chrome 和 Edge 用户的后门和间谍软件之前等待了多年</li>
<li>谷歌警告，恶意行为者越来越多地利用企业技术零日漏洞</li>
</ul>
<p>在 Android 12 月补丁马拉松中，有七个漏洞达到了关键严重性评级。谷歌表示，这些漏洞中最严重的是 CVE-2025-48631，同样在框架组件中，它 “可能导致远程拒绝服务，而无需额外的执行权限。”</p>
<p>内核中还有四个关键的权限提升漏洞（CVE-2025-48623、CVE-2025-48624、CVE-2025-48637 和 CVE-2025-48638），以及两个影响高通闭源组件的关键漏洞（CVE-2025-47319 和 CVE-2025-47372）。</p>
<p>根据高通的安全公告，CVE-2025-47319 可能允许 “在暴露内部 TA 到 TA 通信 API 到 HLOS 时的信息泄露。” CVE-2025-47372 是一个关键的缓冲区溢出缺陷，当一个带有超大文件的损坏 ELF 图像在没有身份验证的情况下被读取到缓冲区时发生。</p>
<p>现在就修补这 107 个 Android 设备安全问题 - 因为微软和其他公司可能会在 12 月 9 日的补丁星期二活动中推送更多更新。®</p>

1 倍做空谷歌 ETF - Direxion

2 倍做多谷歌 ETF - Direxion

<p>谷歌在其 12 月安全公告中披露并修复了两个高危 Android 零日漏洞，CVE-2025-48633 和 CVE-2025-48572。这些漏洞在修复之前已被利用，谷歌警告称存在有限的针对性攻击。此外，还有 105 个其他安全问题已被修复。用户被建议及时更新他们的 Android 软件。这些漏洞通常被间谍软件和政府攻击者利用。七个漏洞被评为严重级别，包括 CVE-2025-48631，该漏洞可能导致远程拒绝服务</p>

<p>Two high-severity Android bugs were exploited as zero-days before Google issued a fix, according to its December Android security bulletin.</p>
<div class="lb-trans"><p>根据谷歌 12 月的 Android 安全公告，两项高严重性 Android 漏洞在谷歌发布修复之前被利用为零日漏洞。</p>
</div><p>The two vulnerabilities are CVE-2025-48633, an information-disclosure flaw in Android's framework component, and CVE-2025-48572, an elevation-of-privilege bug also in the framework component. Both are ranked high severity, and according to Google, both &#34;may be under limited, targeted exploitation.&#34;</p>
<div class="lb-trans"><p>这两个漏洞分别是 CVE-2025-48633，这是 Android 框架组件中的信息泄露缺陷，以及 CVE-2025-48572，这是同样在框架组件中的权限提升漏洞。两者均被评为高严重性，谷歌表示，这两个漏洞 “可能受到有限的、有针对性的利用。”</p>
</div><p>Both of these – plus an additional 105 security holes – all have patches, so it's a good idea to update your Android software ASAP.</p>
<div class="lb-trans"><p>这两个漏洞以及另外 105 个安全漏洞都有补丁，因此尽快更新你的 Android 软件是个好主意。</p>
</div><p>Google didn't provide any details about who is exploiting the vulnerabilities, nor to what end, but we know that commercial spyware and government-sponsored attackers like to exploit these types of mobile device zero-days for snooping purposes.</p>
<div class="lb-trans"><p>谷歌没有提供关于谁在利用这些漏洞的细节，也没有说明目的，但我们知道商业间谍软件和政府支持的攻击者喜欢利用这些类型的移动设备零日漏洞进行窃听。</p>
</div><p>This latest zero-day follows an emergency patch that Google issued last month for a high-severity Chrome bug that attackers have already found and exploited in the wild.</p>
<div class="lb-trans"><p>这个最新的零日漏洞是在谷歌上个月为一个高严重性 Chrome 漏洞发布紧急补丁之后出现的，该漏洞已经被攻击者发现并在野外利用。</p>
</div><p>That vulnerability, tracked as CVE-2025-13223, is a type confusion flaw in the V8 JavaScript engine, and it marked the seventh Chrome zero-day this year. All have since been patched.</p>
<div class="lb-trans"><p>该漏洞被追踪为 CVE-2025-13223，是 V8 JavaScript 引擎中的一种类型混淆缺陷，这标志着今年第七个 Chrome 零日漏洞。所有这些漏洞都已被修复。</p>
</div><ul>
<li>Google Chrome bug exploited as an 0-day - patch now or risk full system compromise</li>
<li>Fortinet 'fesses up to second 0-day within a week</li>
<li>Stealthy browser extensions waited years before infecting 4.3M Chrome, Edge users with backdoors and spyware</li>
<li>Miscreants are exploiting enterprise tech zero days more and more, Google warns</li>
</ul>
<div class="lb-trans"><ul>
<li>谷歌 Chrome 漏洞被利用为零日 - 现在修补或面临系统完全被攻陷的风险</li>
<li>Fortinet 承认在一周内出现第二个零日漏洞</li>
<li>隐秘的浏览器扩展在感染 430 万 Chrome 和 Edge 用户的后门和间谍软件之前等待了多年</li>
<li>谷歌警告，恶意行为者越来越多地利用企业技术零日漏洞</li>
</ul>
</div><p>Seven bugs achieved a critical-severity rating in the Android December patch marathon. Google says the most serious of these is CVE-2025-48631, also in the framework component, which &#34;could lead to remote denial of service with no additional execution privileges needed.&#34;</p>
<div class="lb-trans"><p>在 Android 12 月补丁马拉松中，有七个漏洞达到了关键严重性评级。谷歌表示，这些漏洞中最严重的是 CVE-2025-48631，同样在框架组件中，它 “可能导致远程拒绝服务，而无需额外的执行权限。”</p>
</div><p>There are also four critical escalation-of-privilege bugs in the kernel (CVE-2025-48623, CVE-2025-48624, CVE-2025-48637, and CVE-2025-48638), plus two critical vulnerabilities (CVE-2025-47319, CVE-2025-47372) affecting Qualcomm closed-source components.</p>
<div class="lb-trans"><p>内核中还有四个关键的权限提升漏洞（CVE-2025-48623、CVE-2025-48624、CVE-2025-48637 和 CVE-2025-48638），以及两个影响高通闭源组件的关键漏洞（CVE-2025-47319 和 CVE-2025-47372）。</p>
</div><p>According to Qualcomm's security advisory, CVE-2025-47319 can allow &#34;information disclosure while exposing internal TA-to-TA communication APIs to HLOS.&#34; CVE-2025-47372, a critical buffer overflow flaw, occurs when a corrupted ELF image with an oversized file is read into a buffer without authentication.</p>
<div class="lb-trans"><p>根据高通的安全公告，CVE-2025-47319 可能允许 “在暴露内部 TA 到 TA 通信 API 到 HLOS 时的信息泄露。” CVE-2025-47372 是一个关键的缓冲区溢出缺陷，当一个带有超大文件的损坏 ELF 图像在没有身份验证的情况下被读取到缓冲区时发生。</p>
</div><p>Get patching on all of these 107 Android device security issues now - because Microsoft and friends will probably push even more updates during this month's Patch Tuesday event on December 9. ®</p>
<div class="lb-trans"><p>现在就修补这 107 个 Android 设备安全问题 - 因为微软和其他公司可能会在 12 月 9 日的补丁星期二活动中推送更多更新。®</p>
</div>

两个 Android 零日漏洞已被披露并修复，此外还有 105 个漏洞需要修补