تطرح Google إصلاحًا عاجلاً لنظام التشغيل Android يتضمن عيبين صفريين تم استغلالهما في الهجمات

    Beatriz
  • em ٢ ديسمبر ٢٠٢٥
    • Categories: News (AR)
Android, celular

Android, celular - Arthur_Shevtsov/shutterstock.com

تابع Mix Vale على Googleتابع أخبار العالم المميزة في بحث Googleمتابعة

أصدرت Google تحديثًا أمنيًا لنظام Android يعمل على إصلاح اثنتين من نقاط الضعف في يوم الصفر التي تم استغلالها بالفعل في هجمات محدودة. ويؤثر هذا الإجراء، الذي تم الإعلان عنه في 1 ديسمبر 2025، على إطار عمل النظام ويتطلب تطبيقًا فوريًا من قبل جميع المستخدمين. تتضمن النشرة أكثر من 100 إصلاح، مع إعطاء الأولوية للأجهزة التي تعمل بإصدارات Android من 13 إلى 16. ويتلقى مصنعو الأجهزة الطرفية كود المصدر في غضون 48 ساعة للتوزيع.

تسمح هذه العيوب، التي تم تحديدها باسم CVE-2025-48633 وCVE-2025-48572، بالكشف عن المعلومات الحساسة وتصعيد الامتيازات دون امتيازات إضافية. تحدث الهجمات عن بعد وتكون مستهدفة، وربما تكون مرتبطة ببرامج تجسس متقدمة. يتلقى مستخدمو Pixel التصحيح أولاً، بينما يتبع مصنعو المعدات الأصلية الآخرون جدولًا زمنيًا متغيرًا.

تفاصيل نقاط الضعف المستغلة

يشكل CVE-2025-48633 خطر التعرض للبيانات في إطار العمل، مما يؤثر على الإصدارات الحديثة من Android. يسمح هذا الخلل للمهاجمين بالوصول إلى المحتوى المحمي دون تدخل المستخدم. تشير التقارير إلى الاستخدام في حملات محددة ضد أهداف محددة.

يسهل CVE-2025-48572 زيادة الوصول، مما يسمح بتحكم أكبر في الجهاز بعد الاختراق الأولي. كلاهما يحصل على تصنيف خطورة مرتفع، مع درجة CVSS تبلغ حوالي 7.4 للثانية. تؤكد جوجل علامات الاستغلال النشط، ولكنها تتجنب التفاصيل حتى لا تساعد المجرمين.

يجب على الشركات المصنعة دمج الإصلاحات في مستويات التصحيح 2025-12-01 و2025-12-05. الأجهزة التي تمت ترقيتها إلى هذه المستويات تقضي على المخاطر المرتبطة بها.

هاتف محمول يعمل بنظام Android – الصورة: tomeqs / Shutterstock.com

نطاق التحديث الشهري

تعمل نشرة ديسمبر 2025 على إصلاح 107 عيوب في المجمل، مقسمة بين مكونات مثل الإطار والنظام والنواة. من بينها، 37 منها تؤثر على إطار العمل، بما في ذلك CVE-2025-48631 الحرج الذي يتسبب في رفض الخدمة عن بعد. 14 جهازًا آخر يلمسون النظام، مع التركيز على عدم كفاية التحقق من صحة الإدخال.

يبلغ إجمالي تصحيحات Kernel تسعة عناصر، أربعة منها مهمة في المكونات الفرعية مثل Pkvm وUOMMU. تعالج التحديثات من جهات خارجية مثل Qualcomm وMediaTek عيوب برنامج التشغيل المغلقة. وتمثل هذه الموجة ثاني أكبر عدد من التصحيحات خلال العام، وذلك تماشيًا مع سياسة جوجل الربع سنوية.

تعمل الأجهزة المزودة بخدمات Google Mobile Services على تنشيط وسائل حماية إضافية عبر Play Protect، الذي يقوم بفحص التطبيقات من مصادر خارجية.

التأثير على أجهزة Pixel

يتلقى Pixel التحديث مباشرة عبر OTA، مع طرح أولي في 1 ديسمبر 2025. تتضمن إصدارات Android من 13 إلى 16 جميع الإصلاحات في التصحيح 2025-12-05. يتحقق المستخدمون من الحالة في الإعدادات > حول الهاتف > تحديثات الأمان.

  • تعمل إصلاحات الإطار على القضاء على مخاطر حجب الخدمة عن بُعد.
  • تعمل تصحيحات Kernel على تعزيز عزل العملية.
  • تعمل التحسينات الوظيفية على حل حالات عدم الاستقرار التي تم الإبلاغ عنها في الإصدارات السابقة.

تتوفر صور البرامج الثابتة على موقع مطور Google للإصدارات المخصصة. تحصل جميع الطرز المدعومة، بدءًا من Pixel 6 وما بعده، على الإصدار الخالي من التأخير.

التوزيع على الشركات المصنعة الأخرى

تبدأ شركة Samsung في طرح هاتف Galaxy A34 5G، لكن التوسع في الخط بأكمله يستغرق ما يصل إلى شهر. تتبع شركات تصنيع المعدات الأصلية الأخرى، مثل Motorola وNokia، جدول Google ربع السنوي، مع إعطاء الأولوية للربع الرابع من عام 2025. وتضيف CISA CVEs إلى كتالوج KEV في غضون 48 ساعة، مما يجبر الوكالات الفيدرالية على التحديث.

  • يصل مصنعو المعدات الأصلية إلى كود المصدر عبر المستودعات الخاصة.
  • تختلف تحديثات OTA حسب المنطقة وشركة الاتصالات.
  • قد تتطلب الأجهزة القديمة التحميل الجانبي يدويًا.

يوصى بتجنب التطبيقات من مصادر غير رسمية حتى التطبيق الكامل.

التدابير الوقائية الأساسية

قم بتمكين التحديثات التلقائية على جميع أجهزة Android لتلقي التصحيحات دون تأخير. يراقب Google Play Protect التهديدات في الوقت الفعلي، ويحظر التنزيلات المشبوهة. تجنب النقر على الروابط غير المعروفة، الشائعة في عمليات التصيد الاحتيالي التي تستغل عيوبًا مماثلة.

للتحقق، انتقل إلى الإعدادات وابحث عن “مستوى التصحيح الأمني”. إذا كان تاريخه قبل ديسمبر 2025، فافرض البحث اليدوي. تواجه الأجهزة التي لا تتمتع بدعم رسمي مخاطر أكبر وتستحق التقييم لاستبدالها.

  • حافظ على تحديث النظام والتطبيقات عبر متجر Play.
  • استخدم VPN موثوقًا به على الشبكات العامة.
  • إجراء نسخ احتياطية منتظمة للبيانات الحساسة.

تقلل هذه الممارسات من التعرض لبرامج الاستغلال المستهدفة الشائعة في سيناريوهات التجسس.

تطور السياسات الأمنية

تعتمد Google نموذجًا ربع سنوي للتحديثات الشاملة، مما يخفف الأشهر المتوسطة. يمثل ديسمبر 2025 ذروة التصحيحات، مع التركيز على الأيام الصفرية. تعمل هذه الإستراتيجية على موازنة السرعة والاستقرار، مما يضمن تصحيح 90% من الأجهزة النشطة خلال 90 يومًا.

تحظى مكونات Kernel والجهات الخارجية باهتمام إضافي، مع أربعة إصلاحات مهمة في Qualcomm. تنشر MediaTek نشرات متوازية للرقائق المدمجة. تعكس العملية التعلم من الأحداث الماضية، مثل الثغرات التي حدثت في سبتمبر 2025.

يقوم مستخدمو المؤسسات بدمج MDM للتوزيع القسري، مما يقلل من نوافذ الضعف.

الإصدارات المتأثرة والتوافق

تؤثر العيوب على إصدارات Android 13 و14 و15 و16، وتغطي غالبية الأجهزة المستخدمة. الإصدارات السابقة، مثل 12، تفلت من الخدمة ولكنها تفتقر إلى الدعم العام. يعمل التحديث لعام 2025-12-05 على حل جميع المشكلات البالغ عددها 107، بما في ذلك مشكلات kernel التي تم الكشف عنها في الخامس من ديسمبر.

  • Android 13: إصلاحات الإطار والنظام.
  • Android 14: تصحيحات برامج التشغيل الإضافية.
  • Android 15/16: التكامل الكامل مع تحديثات نظام Play.

يقوم المصنعون باختبار التوافق قبل بدء التشغيل، لتجنب التراجعات الوظيفية.

Tags: CVE-2025-48633أندرويدتحديث اندرويد ديسمبر 2025تصحيحات أمان جوجلتكنولوجياثغرات يوم الصفر في أندرويد