Google випускає оновлення безпеки для Android, яке усуває дві вразливості нульового дня, які вже використовувалися в обмежених атаках. Захід, оголошений 1 грудня 2025 року, впливає на структуру системи та вимагає негайного застосування всіма користувачами. Бюлетень містить понад 100 виправлень, пріоритетні пристрої з Android версій від 13 до 16. Fabricantes терміналів отримують вихідний код протягом 48 годин для розповсюдження.
Ці недоліки, ідентифіковані як CVE-2025-48633 і CVE-2025-48572, дозволяють розкривати конфіденційну інформацію та підвищувати привілеї без додаткових привілеїв. Ataques відбуваються віддалено та цілеспрямовано, можливо, пов’язано з розширеним шпигунським програмним забезпеченням. Usuários з Pixel отримують виправлення першими, тоді як інші OEM-виробники дотримуються змінного графіка.
Детальна інформація про використані вразливості
CVE-2025-48633 створює ризик розкриття даних у рамках, що впливає на останні версії Android. Порок Essa дозволяє зловмисникам отримати доступ до захищеного вмісту без взаємодії з користувачем. Relatos вказує на використання в конкретних кампаніях проти вибраних цілей.
CVE-2025-48572 покращує доступ, забезпечуючи більший контроль над пристроєм після початкового порушення. Ambas отримує високу оцінку серйозності з оцінкою CVSS приблизно 7,4 для другого. Google підтверджує ознаки активної експлуатації, але уникає деталей, щоб не допомагати злочинцям.
Виробники повинні інтегрувати виправлення в рівні патчів 2025-12-01 і 2025-12-05. Оновлення Dispositivos до цих рівнів усуває відповідні ризики.
Щомісячний обсяг оновлення
У бюлетені за грудень 2025 року виправлено загалом 107 недоліків, розподілених між такими компонентами, як фреймворк, система та ядро. Dentre з них, 37 впливають на структуру, включаючи критичний CVE-2025-48631, який викликає віддалену відмову в обслуговуванні. Outras 14 торкніться системи, зосереджуючись на неадекватній перевірці введених даних.
Загалом патчі ядра включають дев’ять елементів, чотири з яких є критичними в підкомпонентах, таких як Pkvm і UOMMU. Сторонні Atualizações, такі як Qualcomm і MediaTek, усувають збої в закритих драйверах. Essa представляє друге за величиною число виправлень за рік відповідно до квартальної політики Google.
Пристрої з Google Mobile Services активують додатковий захист через Play Protect, який сканує програми із зовнішніх джерел.
Вплив на пристрої Pixel
Pixel отримує оновлення безпосередньо через OTA з початковим випуском 1 грудня 2025 року. Usuários перевірте статус безпеки на Configurações > Sobre телефон > Atualizações.
- Виправлення фреймворку усувають віддалені ризики DoS.
- Патчі ядра посилюють ізоляцію процесу.
- Функціональні вдосконалення усувають нестабільність, про яку повідомлялося в попередніх збірках.
Зображення вбудованого програмного забезпечення доступні на сайті розробників Google для власних збірок. Підтримувані моделі Todos, починаючи з Pixel 6 і далі, отримують випуск без затримок.
Дистрибуція іншим виробникам
Samsung починає розгортання Galaxy A34 5G, але розширення на всю лінійку займає до місяця. Виробники комплектного обладнання Outros, такі як Motorola і Nokia, дотримуються квартального графіка Google, віддаючи пріоритет четвертому кварталу 2025 року. CISA додає CVE до каталогу KEV протягом 48 годин, що змушує федеральні агентства оновлюватися.
- OEM-виробники отримують доступ до вихідного коду через приватні сховища.
- Оновлення OTA відрізняються залежно від регіону та оператора.
- Застарілі пристрої можуть вимагати ручного завантаження збоку.
Рекомендується уникати програм із неофіційних джерел до повного застосування.
Основні профілактичні заходи
Увімкніть автоматичні оновлення на всіх Androids, щоб отримувати виправлення без затримки. Google Play Protect відстежує загрози в реальному часі, блокуючи підозрілі завантаження. Evite натискає невідомі посилання, що часто зустрічається під час фішингових атак, які використовують подібні недоліки.
Щоб перевірити, перейдіть до Configurações і знайдіть «Рівень виправлення безпеки». Якщо датовано до грудня 2025 року, примусово шукайте вручну. Dispositivos без офіційної підтримки стикається з більшими ризиками та заслуговує на оцінку для заміни.
- Оновлюйте систему та програми за допомогою Play Store.
- Використовуйте надійні VPN у публічних мережах.
- Регулярно створюйте резервні копії конфіденційних даних.
Ці методи зменшують вплив цільових експлойтів, поширених у сценаріях шпигунства.
Еволюція політики безпеки
Google приймає щоквартальну модель для комплексних оновлень, вивільняючи проміжні місяці. Dezembro 2025 відзначає пік виправлень, зосереджено на нульових днях. Стратегія Essa балансує швидкість і стабільність, гарантуючи, що 90% активних пристроїв виправляються протягом 90 днів.
Ядро та сторонні компоненти отримують додаткову увагу з чотирма критичними виправленнями в Qualcomm. MediaTek публікує паралельні бюлетені для інтегрованих чіпів. Процес відображає знання з минулих інцидентів, наприклад експлойтів у вересні 2025 року.
Корпоративні користувачі інтегрують MDM для примусового розповсюдження, мінімізуючи вікна вразливості.
Постраждалі версії та сумісність
Збої впливають на Android 13, 14, 15 і 16, охоплюючи більшість використовуваних пристроїв. Раніше Versões, як і 12, втікають, але не мають загальної підтримки. Atualização для 2025-12-05 вирішує всі 107 проблем, включаючи проблеми з ядром, випущені 5 грудня.
- Android 13: Correções для фреймворку та системи.
- Android 14: додатковий Patches у драйверах.
- Android 15/16: Integração у комплекті з оновленнями системи Play.
Виробники перевіряють сумісність перед розгортанням, уникаючи функціональних регресій.
