Google gir ut sikkerhetsoppdatering for Android som fikser to nulldagssårbarheter som allerede er utnyttet i begrensede angrep. Tiltaket, kunngjort 1. desember 2025, påvirker systemrammeverket og krever umiddelbar anvendelse av alle brukere. Bulletinen inkluderer mer enn 100 rettelser, og prioriterer enheter med Android versjoner 13 til 16. Fabricantes av terminaler mottar kildekoden innen 48 timer for distribusjon.
Disse feilene, identifisert som CVE-2025-48633 og CVE-2025-48572, tillater avsløring av sensitiv informasjon og rettigheteskalering uten ekstra rettigheter. Ataques oppstår på en ekstern og målrettet måte, muligens knyttet til avansert spyware. Usuários av Pixel mottar oppdateringen først, mens andre OEM-er følger en variabel tidsplan.
Detaljer om utnyttede sårbarheter
CVE-2025-48633 utgjør en risiko for dataeksponering i rammeverket, og påvirker nyere versjoner av Android. Essa-feil lar angripere få tilgang til beskyttet innhold uten brukerinteraksjon. Relatos indikerer bruk i spesifikke kampanjer mot valgte mål.
CVE-2025-48572 forenkler økt tilgang, noe som gir større kontroll over enheten etter det første bruddet. Ambas får en høy alvorlighetsgrad, med en CVSS-score på rundt 7,4 for den andre. Google bekrefter tegn på aktiv utnyttelse, men unngår detaljer for ikke å hjelpe kriminelle.
Produsenter må integrere rettelser i oppdateringsnivåene 2025-12-01 og 2025-12-05. Dispositivos oppgradert til disse nivåene eliminerer de tilknyttede risikoene.
Månedlig oppdateringsomfang
Desember 2025-bulletinen fikser totalt 107 feil, fordelt på komponenter som rammeverk, system og kjerne. Dentre av dem påvirker 37 rammeverket, inkludert en kritisk CVE-2025-48631 som forårsaker ekstern tjenestenekt. Outras 14 berør systemet, med fokus på utilstrekkelig inndatavalidering.
Kjernelapper totalt ni elementer, fire av dem er kritiske i underkomponenter som Pkvm og UOMMU. Tredjeparts Atualizações, som Qualcomm og MediaTek, adresserer krasj i lukkede drivere. Essa representerer det nest største antallet korreksjoner i året, i tråd med den kvartalsvise policyen til Google.
Enheter med Google Mobile Services aktiverer ekstra beskyttelse via Play Protect, som skanner apper fra eksterne kilder.
Innvirkning på Pixel-enheter
Pixel mottar oppdateringen direkte via OTA, med første utrulling 1. desember 2025. Usuários sjekk sikkerhetsstatusen på Configurações > Sobre telefonen > Atualizações.
- Rammerettinger eliminerer eksterne DoS-risikoer.
- Kjernelapper styrker prosessisolasjonen.
- Funksjonelle forbedringer løser ustabiliteter rapportert i tidligere bygg.
Fastvarebilder er tilgjengelige på Google-utviklernettstedet for tilpassede bygg. Todos støttede modeller, fra Pixel 6 og utover, mottar utgivelsen uten forsinkelser.
Distribusjon til andre produsenter
Samsung starter utrullingen for Galaxy A34 5G, men utvidelse til hele linjen tar opptil en måned. Outros OEM-er, som Motorola og Nokia, følger kvartalsplanen til Google, og prioriterer Q4 2025. CISA legger til CVE-er til KEV-katalogen innen 48 timer, og tvinger føderale byråer til å oppdatere.
- OEM-er får tilgang til kildekoden via private arkiver.
- OTA-oppdateringer varierer etter region og operatør.
- Eldre enheter kan kreve manuell sidelasting.
Det anbefales å unngå apper fra uoffisielle kilder til full søknad.
Viktige forebyggende tiltak
Aktiver automatiske oppdateringer på alle Androids for å motta patcher uten forsinkelse. Google Play Protect overvåker trusler i sanntid, og blokkerer mistenkelige nedlastinger. Evite klikker på ukjente lenker, vanlig i phishing-angrep som utnytter lignende feil.
For å sjekke, gå til Configurações og søk etter “Security patch level”. Hvis datert før desember 2025, tving manuelt søk. Dispositivos uten offisiell støtte står overfor større risiko og fortjener evaluering for erstatning.
- Hold systemet og appene oppdatert via Play Store.
- Bruk pålitelig VPN på offentlige nettverk.
- Utfør regelmessig sikkerhetskopiering av sensitive data.
Disse praksisene reduserer eksponeringen for målrettede utnyttelser som er vanlig i spionasjescenarier.
Utvikling av sikkerhetspolitikk
Google tar i bruk en kvartalsmodell for omfattende oppdateringer, noe som avlaster mellommåneder. Dezembro 2025 markerer toppen av korreksjoner, med fokus på null-dager. Essa-strategien balanserer hastighet og stabilitet, og sikrer at 90 % av aktive enheter lappes innen 90 dager.
Kjernen og tredjepartskomponenter får ekstra oppmerksomhet, med fire kritiske rettelser i Qualcomm. MediaTek publiserer parallelle bulletiner for integrerte brikker. Prosessen gjenspeiler læring fra tidligere hendelser, for eksempel utnyttelser i september 2025.
Enterprise-brukere integrerer MDM for tvungen distribusjon, og minimerer sårbarhetsvinduer.
Berørte versjoner og kompatibilitet
Feil påvirker Android 13, 14, 15 og 16, og dekker de fleste enhetene som er i bruk. Tidligere Versões, som 12, unnslipper, men mangler generell støtte. Atualização for 2025-12-05 løser alle 107 problemer, inkludert kjerneproblemer utgitt 5. desember.
- Android 13: Correções for rammeverk og system.
- Android 14: Ytterligere Patches i drivere.
- Android 15/16: Integração komplett med Play systemoppdateringer.
Produsenter tester kompatibilitet før utrulling, og unngår funksjonelle regresjoner.
