--- title: "两个 Android 零日漏洞已被披露并修复,此外还有 105 个漏洞需要修补" type: "News" locale: "zh-CN" url: "https://longbridge.com/zh-CN/news/268304497.md" description: "谷歌在其 12 月安全公告中披露并修复了两个高危 Android 零日漏洞,CVE-2025-48633 和 CVE-2025-48572。这些漏洞在修复之前已被利用,谷歌警告称存在有限的针对性攻击。此外,还有 105 个其他安全问题已被修复。用户被建议及时更新他们的 Android 软件。这些漏洞通常被间谍软件和政府攻击者利用。七个漏洞被评为严重级别,包括 CVE-2025-48631,该漏洞可能导致远程拒绝服务" datetime: "2025-12-02T18:50:44.000Z" locales: - [zh-CN](https://longbridge.com/zh-CN/news/268304497.md) - [en](https://longbridge.com/en/news/268304497.md) - [zh-HK](https://longbridge.com/zh-HK/news/268304497.md) --- # 两个 Android 零日漏洞已被披露并修复,此外还有 105 个漏洞需要修补 根据谷歌 12 月的 Android 安全公告,两项高严重性 Android 漏洞在谷歌发布修复之前被利用为零日漏洞。 这两个漏洞分别是 CVE-2025-48633,这是 Android 框架组件中的信息泄露缺陷,以及 CVE-2025-48572,这是同样在框架组件中的权限提升漏洞。两者均被评为高严重性,谷歌表示,这两个漏洞 “可能受到有限的、有针对性的利用。” 这两个漏洞以及另外 105 个安全漏洞都有补丁,因此尽快更新你的 Android 软件是个好主意。 谷歌没有提供关于谁在利用这些漏洞的细节,也没有说明目的,但我们知道商业间谍软件和政府支持的攻击者喜欢利用这些类型的移动设备零日漏洞进行窃听。 这个最新的零日漏洞是在谷歌上个月为一个高严重性 Chrome 漏洞发布紧急补丁之后出现的,该漏洞已经被攻击者发现并在野外利用。 该漏洞被追踪为 CVE-2025-13223,是 V8 JavaScript 引擎中的一种类型混淆缺陷,这标志着今年第七个 Chrome 零日漏洞。所有这些漏洞都已被修复。 - 谷歌 Chrome 漏洞被利用为零日 - 现在修补或面临系统完全被攻陷的风险 - Fortinet 承认在一周内出现第二个零日漏洞 - 隐秘的浏览器扩展在感染 430 万 Chrome 和 Edge 用户的后门和间谍软件之前等待了多年 - 谷歌警告,恶意行为者越来越多地利用企业技术零日漏洞 在 Android 12 月补丁马拉松中,有七个漏洞达到了关键严重性评级。谷歌表示,这些漏洞中最严重的是 CVE-2025-48631,同样在框架组件中,它 “可能导致远程拒绝服务,而无需额外的执行权限。” 内核中还有四个关键的权限提升漏洞(CVE-2025-48623、CVE-2025-48624、CVE-2025-48637 和 CVE-2025-48638),以及两个影响高通闭源组件的关键漏洞(CVE-2025-47319 和 CVE-2025-47372)。 根据高通的安全公告,CVE-2025-47319 可能允许 “在暴露内部 TA 到 TA 通信 API 到 HLOS 时的信息泄露。” CVE-2025-47372 是一个关键的缓冲区溢出缺陷,当一个带有超大文件的损坏 ELF 图像在没有身份验证的情况下被读取到缓冲区时发生。 现在就修补这 107 个 Android 设备安全问题 - 因为微软和其他公司可能会在 12 月 9 日的补丁星期二活动中推送更多更新。® ### 相关股票 - [GGLS.US](https://longbridge.com/zh-CN/quote/GGLS.US.md) - [GGLL.US](https://longbridge.com/zh-CN/quote/GGLL.US.md) - [GOOGL.US](https://longbridge.com/zh-CN/quote/GOOGL.US.md) - [GOOG.US](https://longbridge.com/zh-CN/quote/GOOG.US.md) ## 相关资讯与研究 - [“换芯” 重生!联发科告别成熟业务低迷 用 AI ASIC 讲出市值增长 1300 亿美元新故事](https://longbridge.com/zh-CN/news/289536851.md) - [谷歌宣布追加投入 5000 万美元培训美国技工,以满足 AI 基础设施建设需求](https://longbridge.com/zh-CN/news/289549349.md) - [据报道,谷歌正在与三星洽谈,以共同开发 TPU 组件](https://longbridge.com/zh-CN/news/289471321.md) - [无人驾驶商业化竞争白热化!Waymo 首推月度订阅制,为 Alphabet 巨亏的 “其他投资” 输血](https://longbridge.com/zh-CN/news/289564062.md) - [Navan 推出 “Anywhere” 跨平台差旅功能,首站集成 Gemini Enterprise](https://longbridge.com/zh-CN/news/289214126.md)