Разработчики Google выпустили обновления безопасности для Android, которые устранили 120 уязвимостей в операционной системе. Две проблемы, по данным компании, уже применялись хакерами в целевых атаках.
Исправленные в этом месяце 0-day получили идентификаторы CVE-2025-38352 (7,4 балла по шкале CVSS) — ошибка повышения привилегий в компоненте Linux Kernel, а также CVE-2025-48543 — ошибка повышения привилегий в компоненте Android Runtime.
Google отмечает, что эти уязвимости уже применяются в ограниченных, целенаправленных атаках, однако компания не раскрывает никаких подробностей об этих инцидентах. Сообщается, что для эксплуатации уязвимостей не требуется никакого взаимодействия с пользователем.
CVE-2025-38352 представляет собой уязвимость в ядре Linux, которая была обнаружена 22 июля 2025 года и исправлена в версиях ядра 6.12.35-1 и более поздних. Проблема связана с состоянием гонки в CPU-таймерах POSIX и провоцирует сбои в процедуре очистки задач, дестабилизируя ядро, что может приводить к сбоям, отказу в обслуживании и повышению привилегий.
CVE-2025-48543, в свою очередь, затрагивает Android Runtime, где выполняются Java/Kotlin-приложения и системные сервисы. Потенциально позволяет вредоносному приложению обойти защиту песочницы и получить доступ к системным возможностям более высокого уровня.
Помимо двух активно эксплуатируемых 0-day, сентябрьское обновление устранило четыре критических бага.
CVE-2025-48539, проблема удаленного выполнения кода (RCE) в системном компоненте Android. Позволяет атакующему, находящемуся в пределах физической или сетевой близости (например, в радиусе действия Bluetooth или Wi-Fi), выполнить произвольный код на устройстве без какого-либо взаимодействия с пользователем и привилегий.
CVE-2025-21450, CVE-2025-21483 и CVE-2025-27034 затрагивают проприетарные компоненты Qualcomm. Согласно деталям, предоставленным Qualcomm в собственном бюллетене безопасности, CVE-2025-21450 связана с системой управления GPS, CVE-2025-21483 охватывает проблемы со стеками сетевых данных, а CVE-2025-27034 связана с проблемой в процессоре многорежимных вызовов.
Google традиционно подготовила два уровня исправлений: 2025-09-01 и 2025-09-05, чтобы предоставить партнерам возможность быстрее устранить часть уязвимостей, одинаковых для всех устройств Android.